Pull to refresh

Comments 187

Будь я создателем этого вируса, я бы сделал рандомную генерацию доменного имени и если уж на то пошло, то генерировать допустим 10 разных доменных имен по 20-30 символов длиной, если все отвечают положительно, то 100% что песочница, если хоть один провалится, начинает шифровать.
Я бы посмотрел, как они бы регистрировали кучу рандомных имен=D
Вообще мне кажется, что это больше пиар антивирусников или пинок для мелкософта, больно какой-то безалаберный вирус.
Далеко не все желающие заработать на криптовымогателях очень умны.
Будь я создателем этого вируса, я бы уже сидел бы где-нибудь в джунглях Амазонки и не отсвечивал. Ближайшие лет десять.
Но судя по выпуску свежих вариантов, у ребят с отвагой все в порядке. Посмотрим насчет слабоумия…
еще хуже если за этими ребятами стоят большие люди, которые проводят глобальный тест, на случай будущих глобальных кибервойн.
Большие люди, как я понимаю, эту дырочку тихо держали в сейфе и не светили. Это потом что-то пошло не так.
Непонятно только, как дырочка из сейфа попала на викиликс? Большие люди слили сами, или у маленьких людей есть доступ к сейфам больших?
В армии нет слова «украли». В армии есть слово «пролюбили».

WikiLeaks тут не при чём. Эксплоит украла некая группа под названием Shadow Brokers, а WikiLeaks выкладывали другие утечки, а не эту.

Тест? А может подготовку? Под видом заделывания бреши очень удобно проковырять парочку новых.
Что там в тех патчах? Да, макрософт его знает… в патче 32 мега.
32 мега только под новые ос (а действительно, почему так много?). Под ХП обнова меньше мегабайта занимает.

Авторы разных версий могут быть разными.

А будь я на месте парней, которые отчаянно хотят засветиться в лентах, я бы сделал «безвредную» модификацию «червя» и выдал бы ее за свое открытие.
Зачем вообще это надо? Пусть шифрует все подряд.
Гадить так по полной.
В чём вообще смысл защищаться от запуска в песочнице таким банальным способом? Неужели это сильно замедлит специалистов, анализирующих вирус?
Лобби доменных регистраторов?
Вероятно это собьет с толка эвристику антивируса

Вирус не станет заниматься подозрительными действиями, когда антивирус запустит его в песочнице для анализа.

Чтобы корпоративная потоковая песочница файл дальше пропустила.
Банальные способы таки работают, и легко реализуются. Все же понимают что способ будет действовать недолго — до его обнаружения и нейтрализации, поэтому нет смысла делать что-то очень хитрое и тратить усилия на сложные схемы когда они почти одинаково легко обнаруживаются по последствиям. Главное чтобы метод работал некоторое время а дальше хоть трава не расти. Пофиксят — тут же придумают очередную банальность, когда банальные способы пофиксят будут думать что-то сложнее.

Или просто пинок ленивым наконец обновиться и закрыть уязвимость, которую много лет юзает АНБ.

Поясните ламеру, как это использовать: «dism /online /norestart /disable-feature /featurename:SMB1Protocol»? ))
И второй вопрос, есть винда 7 64, там обновления ставлю по мере возможности(интернет постоянно не включен). Хочу ее подключить к сети и скачать последние обновления. Стоит ли или можно как-то безопаснее это сделать? Касперский или доктор вэб я так понимаю не есть безопасность?
как это использовать: «dism /online /norestart /disable-feature /featurename:SMB1Protocol»?

выполнить в командной строке или power shell'е?
Выполнил в PowerShell, мне написал, что не распознано как имя командлета. Может уже отключено?
Вроде это только для виндовс от 8.1
Странно, что везде советуют именно вариант с dism, когда есть способ универсальнее.

Панель управления -> Установка и удаление программ -> Включение или отключение компонентов Windows -> Отключить то, где упоминается SMB.
В первую очередь именно так и сделал, только потом все равно вариант через консольку, и все это под win 10 Creators Update 1703. xD
Просто не знал что уже патч с заплатками стоит, решил подстраховаться)
dism делает ровно то же самое (только без перезагрузки)
Делать и то, и другое (через GUI и потом через консоль), не имеет смысла
Нет, GUI не настолько кривая, чтобы требовать перезагрузку без необходимости.
dism /online /get-features


Feature Name : SMB1Protocol
State : Disabled Pending


Pending — значит, применится после перезагрузки.
и не пользоваться шарами и сетевыми принтерами?
Так ведь и в случае с консольной командой ими уже не попользоваться. Я проверял, общие папки отваливаются.

Не всем же они нужны, дома особенно.
Хм, у вас вероятно папки работают на CIFS (старый вариант протокола, который SMB1).
Через SMB2 (появилась, начиная с Win Vista) должно все работать без каких-либо проблем.
Интересно тогда, почему у меня Windows 10 шарит папки через старую версию…
Я проверял просто: расшарил папку (Свойства — Доступ — Общий доступ) и убедился, что к ней есть доступ с другого компьютера, работающего под Windows 8.1. Затем отключил CIFS, перезагрузился, после чего другой компьютер уже не видел эту папку через «Сеть».

Возможно, как-то влияет то, что у меня полностью отключена служба домашней группы и в политиках запрещено её создание?
У меня Win 10 Pro и домашняя группа также отключена (сеть «общедоступная») — сейчас попробовал расшарить директорию, с другого компьютера к ней без проблем доступ получил. Как в варианте с авторизацией, так и без.

К тому же, у меня NAS создает сетевые папки через SMB2 (это явно выбрано его в настройках) и они тоже работают без проблем.
А если там ничего похожего нет?
Есть вероятность, что у вас какая-то сборка, из которой эта фича изначально вырезана.
Потому что предложенный метод дизаблит только SMBv1 протокол, а ваш (кроме того что он долгий и длинный) дизаблит все протоколы SMB, что приведет к отвалу шаров и принтеров.
В 10 да, раньше я не замечал, могу ошибаться.
В 8.1 тоже. Ну а до 8.1, как подсказывают в комментариях, dism не было, так что там и выбора между «консоль или GUI» не стоит.
Ну а до 8.1, как подсказывают в комментариях, dism не было
Бессовестно врут.
7х64, DISM на месте.
Хм…
Вот доберусь до дому, посмотрю дату релиза своего образа (MSDN, Win7 N SP1), по-моему, оно вышло раньше восьмерки. При этом DISM есть из коробки.
dism появилась в service pack 1. Никакой windows 8 тогда еще не было.
Я ориентировался на написанное здесь:
Читатели со стажем сразу вспомнят, как через четыре года после выхода Windows 7 в ней появилась возможность очищать папку WinSXS. Тогда из Windows 8+ перенесли часть функций DISM. Прошло два года, и в Windows 7 переселилась еще одна технология, связанная с хранилищем компонентов.

Microsoft опубликовала статью базы знаний KB2966583, из которой можно скачать пакет обновления. После его установки и перезагрузки Windows 7 получает фактически такую же возможность восстановления компонентов, как Windows 8+.
Ну мало ли где и что написано. Я помню что после установки service pack 1 делал DISM /online /cleanup-Image /spsuperseded. В то время windows 8 была разве что внутренней разработкой microsoft.
Интересно, в Win10 1607 у меня этот компонент после установки патча уже отключен. Шары есть, работают.
Смотря как вы в инет ходите. Если у вас стоит роутер с включенным фаерволом, то думаю проблем нет.
Я вот не понимаю, зачем отключать службу? типа 100% гарантия? можно же настроить «защитник виндовс» (фаерволом). Поправте, если не прав.
Прочитав эти темы, я так понял, что защитник виндовс не помогает.
А я сразу после установки Windows всегда отключаю его, как и центр обновлений, чтобы не грузили систему.
Была бы возможность и графический интерфейс отключили бы?
Да мне то ничего, просто придерживаюсь идеи, что как можно больше вещей должны выполняться средствами системы, без использования стороннего софта. А если человек выключает Защитника и обновления, значит у него стоит сторонний антивирус. Который может удалить сетевой драйвер, например (или что там Avast удалял?) ну или еще чего сделать интересное. Хотя, если система полностью изолирована от внешнего мира (USB порты заклеены, интернета нет, доступа к нутру системы ни у кого нет и т.д.) то может и имеет смысл.
А если человек выключает Защитника и обновления, значит у него стоит сторонний антивирус.
Или не стоит. Может, он просто сидит где-нибудь за NAT'ом (а то и вообще только с локалкой) и периодически загружает винду в игры погамать. Или для сборки/тестирования виндовых билдов чего-то своего, написанного где-нибудь в убунте, использует. Или это вообще виртуалка для двух программ, которой обновления ни в какую не уперлись. Или…
Команда отключает не службу, а конкретный уязвимый протокол.
Надо обновлять систему.
На роутер не надейтесь, если не знаете, как именно он у вас работает, может он 445 порт через upnp пробросил?
Или фаер включается не сразу после загрузки роутера
Хм, как это возможно? iptables на роутере запускается до поднятия соединения с провайдером, ибо все маршруты до провайдера с iptables и прописаны…
Вполне себе могу представить скрипт, который в автозагрузке, не там где нужно (после появления сети) и который добавляет запрещающие правила в iptables, который живут только до перезагрузки.
Так по умолчанию никаких запрещающих правил и не требуется — все входящие соединения по портам, для которых явно не настроено перенаправление (forwarding), итак заканчиваются на маршрутизаторе, во внутреннюю сеть (inside NAT) ничего не проходит само собой — ибо банально неизвестно, куда идти пакетам дальше.
а, ну наверное да. я значит в голове держал сценарий, когда такой кривой сетап подвергает опасности сам роутер (в случае если твой комп под линукс и является роутером).
Да, подобной опасности подвергается даже не только машина-роутер, но и любая другая, к которой подключен «внешний» линк (например, кто-нибудь у себя дома воткнул кабель провайдера прямо в сетевуху).
Поэтому, имхо, от подобного вектора атаки с автоматическим распространением вируса, маршрутизатор — отличная преграда.
«Береженого бог бережет» — сказала монашка, натягивая на свечку второй презерватив.
Интересная игра. Подключаешь к сети непатченую винду и ждешь что быстрее скачается — обновление или вирус.
Как с Blaster'ом: успей за 59 секунд скачать и установить патч :)
1. обнову можно скачать на другом компе.
2. можно закрыть порт 445.
3.можно выйти в инет через роутер с закрытым портом 445.
Для 7-ки можно использовать две команды в cmd запущенной от имени администратора:
sc config lanmanworkstation depend= bowser/mrxsmb20/nsi

sc config mrxsmb10 start= disabled

после этого нужно перезапустить ПК.
Зачем его форсят сми или это ненавязчивая рекламы антивирусов? Не опасней Kido и ему подобных, отключил службу и все нормально. Спутник мейл.ру\амиго гораздо опасней имхо.
В очень многих случаях отключать службу вообще или только SMB1 не вариант. Очень много где достаточно активно используется XP.
кидо не шифровал файлы. потому — таки опасней, из-за последствий…
мне «нравится» сокращение «cry» — плакать…
хакер Мэтью Сюиш (Matthieu Suiche) из Microsoft

Может я чего-то не понимаю? Microsoft нанимает на работу хакеров официально?
А что запрещает нанимать на работу хакеров?

Насколько я слышал: нельзя, чтобы сотрудники занимались хакерской деятельностью (как сотрудники, т.е. от лица компании), но то, чем они занимаются в нерабочее время, работодателя не касается и не запрещает их нанимать, даже если по ночам они занимаются хакерством.
Изначально хакерами называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым или элегантным способом; слово hack пришло из лексикона хиппи, в русском языке есть идентичное жаргонное слово «врубаться» или «рубить в …»
https://ru.wikipedia.org/wiki/Хакер
А как понять что человек хакер?
У него HACKER ID есть?
В статье явно указано, что он хакер.
А беспарольное расшаривание папок в локальной сети не отвалится после «dism /online /norestart /disable-feature /featurename:SMB1Protocol»?
Я так и не понял, надо ли беспокоиться тем у кого стоит Creators Update (1703)? SMB1 включен, но без него не могу потому что роутер ASUS AC87U использует именно его, если конкретнее то версию 1.5 SMB… Печаль…
Сто раз писали, что нет.
Скачал обновление, установил, перезагрузился. Что-то пошло не так.
При выборе пункта «Start Windows Normally» комп уходит в ребут.
скриншоты




В случае выбора «Repair» — идёт запрос на восстановление системы. Причём подтвердить не могу — ни мышь, ни клавиатура не работают. Пришлось сносить систему. Всю вчерашнюю ночь настраивал винду.
Прошу в связи с этим подсказать, как хотя бы вручную прикрыть этот порт. Второй раз не хочется экспериментировать, может, это из-за ломаной Windows (у меня 7x64)

Да, возможно, не связано, но в ЖЖ, например, при включенном AdBlock не показываются видео с ютюба. Даже ссылки нет. На ютюб половина комментариев не добавляются, просто исчезают без уведомления. А на hsto.org появились дополнительные ссылки. (скрин)
Именно из-за ломанной. В предыдущей теме вроде даже рассказали как починить.
Спасибо!
Но там полтыщи комментов. Вряд ли осилю. Или в статью уже добавили?
Кстати, вариант с командной строкой не работает:

Я там то же уже потерялся. Чем смог — тем помог :)
Спасибо и на этом. Да, в статье нет упоминания о ломаных версиях, в первых 50 комментариях также…
https://geektimes.ru/post/289115/#comment_10062029 — Вот это там внизу откопал.
Спасибо, добрый человек). Надо ковырять, может, что и получится.
Самый простой вариант — снести этот активатор и поставить тот, который не затрагивает системные файлы. Реально, нет никакой необходимости иметь такие костыли, как подмена ядра на старое и уязвимое. Если уж ваш выбор — пиратить, то давно есть более красивые активаторы.
К сожалению, мне совсем не очевидно, как это делается. Минимально смог выполнить команды:
скриншоты



Примерно так
Восстановление загрузки (восстанавливает оригинальные родные: MBR, загрузочный сектор активного раздела, загрузчик, хранилище BCD)

Загрузиться с помощью загрузочного DVD Windows 7, нажать Shift+F10 и в консоли восстановить:

A. Оригинальный загрузчик bootmgr:

0. Перейти из диска X: на диск С: C:
1. Сменить атрибуты attrib bootmgr -s -h -r
2. Переименовать его например в ren bootmgr bootmgr. bad
3. Переписать оригинальный bootmgr из DVD на диск С: xcopy Y:\bootmgr C: где Y: буква DVD
4. Сменить атрибуты attrib bootmgr +s +h +r

B. Ещё восстановить:

1. Загрузочный код MBR bootrec /fixmbr
2. Загрузочный сектор активного раздела bootrec /fixboot
3. Хранилище BCD (бекапируем на всякий случай, удаляем старое и создаём новое).

bcdedit /export «C:\BCD_backup»
del c:\boot\bcd
bootrec /rebuildbcd

Найденные через bootrec /rebuildbcd ОС добавляем по запросу. Подтверждаем (yes). В случае проблем восстанавливаем назад командой bcdedit /import «C:\BCD_backup»


А перед всем этим взять загрузочный диск с какой-нибудь программой для резервного копирования разделов/дисков и снять полный образ всего системного диска. Тогда легко можно всё откатить в первозданный вид, если что-то пойдёт не так.
Благодарю за потраченное время.
Мне не подойдёт, но будет полезно другим пользователям.

Загрузочного диска нет (как нет и DVD-привода). И где та версия Windows с которой делалась установка — бог весть…

У меня вариант другой пользуется: есть второй SSD, на него с помощью Paragon Домашний Эксперт 12 делаю «миграцию ОС на SSD» до следующего факапа. Но, конечно, восстановление происходит без части нового софта. Зато быстро (минут 10). Костыль, но рабочий. Да, не могу скачать обновления посл случая с незапуском 32-битных программ (не помню его номера), да, есть дыры в защите, но — как есть.
Да, резервный внешний винт есть и используется периодически (сливаю туда фильмы, лекции, фоточки и всё, что мы любим)
Мне просто очень грустно стало, когда я прочитал, что народ городит какие-то костыли, чтобы главный костыль (подмена ядра) дал установить патч.
Тут мой внутренний безопасник грустно сказал «господь, жги, этих людей уже не спасти».
И я прекрасно Вас понимаю.
Можно будет в личку позже обратиться за подробностями? Если, конечно, у Вас есть свободное время.
Просто я руководствовался принципом «работает — не трогай». Боюсь, начнётся всякое, типа скачивание и установки Win10 без возможности отказаться.
Для того, чтобы Win7 не обновлялась до 10-ки следует установить обновление KB3065987.
После установки в «групповых политиках» (Computer Configuration > Administrative Templates > Windows Components > Windows Update) появляется пункт «Turn off the upgrade to the latest version of Windows through Windows Update option», который следует включить.

Также, не следует устанавливать обновления:
971033 — обновление для технологий активации Windows
3021917
3035583
2952664
3138612
3173040

Обновления добавляющие телеметрию:
3068708
3080149
3075249
3081954

Обновления добавляющие телеметрию внутри RollUp паков:
3125574 2016-05-17 Convenience Rollup PreSP2 (содержит KB3068708, KB3075249, KB3080149, добавляет службу телеметрии)
3192403 2016-10-18 Preview of Monthly Rollup
3197868 2016-11-08 Security Monthly Quality Rollup
3197869 2016-11-14 Preview of Monthly Quality Rollup
3207752 2016-12-12 Security Monthly Quality Rollup
3212646 2017-01-08 Security Monthly Quality Rollup
4012215 2017-03-14 Security Monthly Quality Rollup
4012218 2017-03-16 Preview of Monthly Quality Rollup
4015546 2017-04-11 Security Only Quality Update
4015549 2017-04-11 Security Monthly Quality Rollup
4015552 2017-04-13 Preview of Monthly Rollup

P.S. Пользуюсь лицензионной Win7 x64 (BOX), переходить на последующие ОС пока желания нет.
Эти знания безусловно ценны — без шуток (добавил коммент в избранное). Но кто мешает обнулить макрософту всю эту сокральность? В завтрашнем же патче и «телеметрия» и новые бреши могут быть представлены в полный рост.

Вопрос риторический — никто конечно, мы все заложники этой системы.
Но кто мешает обнулить макрософту всю эту сокральность?

Простое правило — не ставить обновления моментально. Требуется относительно немного времени выяснить содержание того или иного KB.
Ни разу не сталкивался с такой несовместимостью обновлений с нелицензионными сборками. Какие активаторы заменяют ядро? Так, для общего развития знать бы. С loader by DAZ таких проблем точно нет.
Их несколько, общая черта — они делают вот так (копируют ядро и добавляют новый пункт в загрузчик, который грузит старое ядро). Это очень варварский способ.

loader by DAZ я не помню, но Windows 7 loader extreme edition — это наилучший способ
А не надежнее kms активатор, который спокойно переживает даже мажорные обновления, и при каких-то проблемах разве что винда потеряет статус активированной, без проблем с функциональностью?

С изменениями ядра/системных файлов всегда остаётся риск что винда при обновлении поломается.
Для KMS-активации, вроде бы, нужно ставить другую редакцию Windows (не Retail)?

Вообще, самый «чистый» способ — прошивка модифицированного BIOS, позволяющего притворяться ПК, купленном с предустановленной Windows. Этот способ в принципе никакими обновлениями не убивается, а бонусом даёт возможность апгрейдиться до Windows 10 с сохранением статуса «активировано».
Насколько я понимаю, всё зависит только от версии винды, а не от канала распространения.

Kms не может активировать Home версию, и не работает на Windows 7 Ultimate (не представляю зачем обычному пользователю эта редакция, и если ему она действительно нужна, до он может её купить). Professional, Enterprise активируются, с любого скачанного образа.

Семерка, активированными очень многими способами становится как-бы лицензионной десяткой, так как активация хранится в облаке, а подмена ядра не важна, главное, чтоб винда считала себя лицензионной.
Так же столкнулся с этой проблемой. Но обошлось без переустановки, оказалось можно удалить неудачное обновление через командую строку восстановления запуска и все заработает снова. (В моем случае Windows 7).

Так же советую проверить работает ли у вас изначально этот сервис, уже постфактум я проверил и он оказался вырезаным в моей сборке.

Пример инструкции по удалению обновления.
У меня старая сборка, я вручную SMB отключал.
ERD у меня есть, но он никогда мне не помогал. Уж не помню, что за случаи были. Вроде, файловая таблица сыпалась. И я по похожей инструкции восстанавливал, когда 32-битные версии программ отказались запускаться после какого-то обновления (не того, что указано по ссылке)
Я восстановил win 7 64 после установки MS17-010 через f8 -> directory services restote mode (откат на предыдущие контрольные точки и last known good configuration не помогал: bsod с STOP: c0000145 Application Error)
Да, единственное, чего тогда добился я — вывода на синий экран той же ошибки)

Хотелось бы узнать, какую критическую уязвимость использовали. Кто попадает в зону риска?

Хитрый план — написать свою версию вируса, который распространяется по тому же принципу, но ничего не шифрует, а вместо этого отключает SMBv1.
Или принудительно устанавливает необходимые апдейты.

Ну и посносит он им пиратскую винду, как у ra3vdx выше.

Вообще давно жду вирус от микрософт заражающий только пиратские винды. И потом статейку от них же с заголовком «а мы предупреждали»
Бритва Хэнлона.
Миром правит не тайная ложа, а явная лажа.
Думаю, Мicrosoft имеет профит независимо от того, пиратская винда или нет. Данные о поведении пользователей сливаются с любой. Недавняя история с Intel. Ещё одна.
Уж если такое писать, то только с предупреждением.
What happened to My Computer?
— Your important files are vulnerable.

Can i protect my files?
— Sure.

А то что-нибудь не учтут, где-то с конфигурацией не то, что-то пойдет не так, и вместо хорошего дела получится как всегда…
Э, нет! Винду я самостоятельно снёс))
У меня бэкап был на втором SSD, сделал «миграцию ОС» обратно, зато от мусора избавился (это я рационализирую свои поступки, как большинство людей. Типа, так и было задумано). :)

А не подскажете есть, в win 7 есть возможность сделать как linux.
Что б при обращении к внешнему диску требовался рутовый пароль. Только без шифрования,
к чужим машинам он цепляться не будет, на нем бэкапы...

Можно сделать наоборот. Сервер ходит по клиентам и собирает данные себе. Со стороны клиента на сервер произвольного доступа нет.

в песочнице обычно все HTTP-запросы перехватываются
В данном случае это DNS запрос
А все ли системы подвержены заражению такого типа вирусами?
Стоит ли очковать, что когда-нибудь будет написан такой вымогатель для Linux? (да, системные файлы без рута он тронуть не сможет, но на них как то пофиг, ведь для меня важнее всего мои файлы из директории home/%user%).
Ведь запустить от пользователя какой нибудь исполняемый файл с доступом к каталогу ~/documents/ не велика проблема.
Собственно, вы сами ответили на свой вопрос:
> запустить от пользователя какой нибудь исполняемый файл с доступом к каталогу ~/documents/ не велика проблема.
Проблема в том, как это сделать без ведома пользователя.
Так и сабжевому шифровальщику не очень то надо уведомлять пользователя о своей работе.
Его тоже принудительно никто не включал.
Для заражения нужно отправить жертве tar с вирусом, чтобы сохранить атрибут x для файла и его можно было выполнить по двойному щелчку как в Windows. И опять же, на одном ядре заработает, на другом не заработает. Массового заражения всё-равно не будет.
Очень распространённое мнение, но, на мой взгляд не совсем соответствует действительности. Для вируса достаточно чтобы где-нибудь нашлась RCE уязвимость. Бинарники выполняются под любым линуксом, потому что они представляют из себя инструкции для процессора, а не для ОС. От ОС зависит только обработка системных вызовов, но и тут проблема не велика — везде UNIX стандарт. В конце концов попробуйте сами скомпилировать под линукс программу, изменяющую какой-нибудь файл и убедитесь, что бинарник работает на всех линуксах.
Массовое заражение линуксов уже было из-за уязвимости shellshock. Правда то были серверы, а не десктопы, но всё равно это показывает, что Linux не панацея.
Кроме того не стоит забывать об аппаратных уязвимостях. Вирусу, который расспростроняется через ошибку в микрокоде процессора будет вообще плевать, windows ли на компьютере, linux или Mac или FreeBSD, а с учётом того, что такие уязвимости даже иногда обнаруживают, я весьма удивлён что такого вируса до сих пор не было.
Ну это довольно банально объясняется. Для написания такого вируса нужна квалификация, программист который способен написать его заработает денег другим более легальным способом.
И самый железобетонный аргумент — зачем напрягаться когда более простые методы работают?
«Бинарники выполняются под любым линуксом, потому что они представляют из себя инструкции для процессора, а не для ОС»

1. Любой Линукс — это тоже ОС.

2. Бинарники может представляют из себя инструкции для процессора, но архитектура бинарников между разными ОС заметно отличается.
3. В бинарниках могут быть вызовы ОС функций, чтобы например не писать самостоятельно работу с файловой системой.

В этом плане, в Линукс даже проще — исходники доступны, можно взять готовое, просто размер бинарника заметно увеличится, и требование к квалификации программиста тоже.

Линукс все еще весьма НЕ популярен среди обычных пользователей, поэтому особого смысла писать под него нет.
Вот обратите внимание, что несмотря на растущую популярность Линукса и Мака, внезапно очень сильно взлетел Андроид, и вот под него уже зловредов заметно больше, чем для Линукса и Мака вместе взятых — просто потому, что он стал популярен именно среди целевой аудитории.
Уж не смейтесь над нубом, но, скажите, может ли вирус ползать через тот же андроид? Например, можно ли подхватить червя сидя в инете на телефон и, придя домой, дать ему размножиться по локалке, подключившись к домашнему вайфаю?
Вирус работает только в Windows — описанный сценарий невозможен.
Но если напишут загрузчик под андроид, который будет в доступной сети распространять вредоносную нагрузку… то очень даже запросто!
Народ, понимаю что я некрофил, но ссылки на патч для «старых систем» на русском языке, а именно для XP SP3 rus — не правильная. Английская версия патча выдаёт ошибку языка, а русская скачивает WindowsXP-KB4012598-x86-Embedded-Custom-RUS.exe, то есть для встраиваемых систем.
Вот в этом каталоге обновлений лежит ссылка на правильный файл:
http://www.catalog.update.microsoft.com/search.aspx?q=4012598

Нормально обновил на 3х лицензионных и 1 не лиц XP SP3.
Попробуйте запросить русскую версию сайта с обновлениями.
https://geektimes.ru/post/289115/
Внизу статьи ссылки есть
Спасибо, но как я уже сказал, та ссылка НЕ на обычную десктоп версию, а на Embedded.

Файл должен называться «windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe»

Запрашиваешь файл с https://www.microsoft.com/ru-RU/download/details.aspx?id=55245 — он ВСЁ РАВНО выдаёт Embedded версию патча. Только напрямую с каталога обновлений по той ссылке которую я дал в посте выше скачался правильный патч.
Подтверждаю, тоже не сразу нашел нужную версию, только прямая ссылка на файл помогла (на сайте майков тоже не то было). Нужно обновить ссылку в предыдущем посте.
Скажите пожалуйста, как червь попадает на комп?
Надо скачать что то или он сам проникает?
Я не спец, но насколько я понял, он проникает и сам на компьютеры имеющие белые айпи и «непропатченный СМБ сервер» и если вы его скачаете-запустите.

ЗЫ: А с зараженных «белых» уже по локалке наверное тоже умеет.
Сам, через открытый уязвимый порт. Достаточно чтобы было незафаерволенное подключение к сети с заражёнными машинами или интернету
Спасибо!
Интересно брандмауэр в роутере RT-AC68 и касперский фри сможет этот червь остановить?

Если вы зачем-то 445 порт в NAT не пробросил, то вероятно с конкретным червем у вас проблем не будет.

Я решил провести эксперимент — поставил Win7 без обновлений в VirtualBox, выставил ее уязвимыми портами голышом в интернет, жду уже полтора дня — и ничего :(
Сюиш опубликовал свой анализ новых вариантов WannaCry. по его словам, найдено два новых варианта. Первый из них Мэтью блокировал путём регистрации доменного имени, а второй вариант криптовымогателя не шифрует файлы из-за повреждённого архива.


Ни у одной программы нет такого профессионального и отзывчивого сообщества, своевременно сообщающего обо всех багах и недостатках, как у этого червя :-)
UFO landed and left these words here
В песочнице он не приносит никакого вреда. Попав в песочницу и не осознав этого, он зашифрует единственный файл README.txt в «Моих документах» и с чувством выполненного долга выдаст окно с требованием заплатить за его расшифровку.
UFO landed and left these words here
Потому что песочница — это один из этапов проверки неизвестного приложения антивирусом у которого нет подписи и он не отмечен как безопасный, а проверка по сигнатуре не выявила зловреда.
Поэтому зловреду очень важно не выполнять деструктивных действий в песочнице, иначе сработает поведенческий анализатор и файл будет отправлен в карантин.
Коллеги,
ни как не пойму как обновить Win10Pro, ибо обновления
kb4012606
kb4013198
kb4013429
Не встают, говорит, что Обновление не применимо к вашему компьютеру. Такую же ситуацию наблюдаю на некоторых Win10Home.
Какой номер правильного обновления?
Подскажите пожалуйста, а то я не совсем въехал в эти «перекрытия». На семёрке 4012212 два раза повторяется.
Я у себя (7х64) поставил windows6.1-kb4012212-x64. А на перекрытии ещё 4012215 и в ней ещё какие то? Их всех ставить надо?
KB4012212 должно хватить. На будущее, не стоит выключать Windows Update.
Установка патча не требуется, если у вас включено автоматическое обновление Windows, и установлены последние обновления после 14 марта 2017 года для следующих операционных систем: Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows 10, Windows Server 2016

После установки обновлений проверьтесь этой утилитой https://geektimes.ru/post/289153/?reply_to=10065011#comment_10064757
Держать всегда включенный Windows Update тоже чревато. Забыли KB2859537 4 года назад? Да, может случай и редкий, но данный вирус тоже не вот чтобы каждый день появляется.
Лучше вручную регулярно подгадывая под очередной выход кумулятивного обновления всё загрузить.
С KB2859537 было всё в порядке. Проблему испытали пользователи у которых было модифицировано ядро системы! В подавляющем большинстве случаем это нелегальная активация Windows. )
У такой модификации есть две наиболее вероятные причины.

Вредоносные программы. Это не первый случай, когда обновление ядра выявляет наличие проблем в системе – так, 3.5 года назад случайно обнаружился руткит Alureon.

Нелегальная активация. Этот момент отлично разобрал участник конференции OSZone simplix, который не понаслышке знаком со сборками Windows, а также является автором полезной программы AntiSMS для лечения вирусов и троянов.
http://www.outsidethebox.ms/15229/
Да, большая часть пострадавших — с нелегальной активацией, но лично я столкнулся с очень лицензионными виндовсами, которые «внезапно» утром перестали загружаться, потому что накануне вечером в автомате загрузился этот kb. Случилось это 15 августа 2013 г.
И потом — если с KB2859537 было всё в порядке, то почему же мелкомягкие как-то быстро его убрали из доступных к загрузке?
Не совсем точно выразился. В первый момент волны зависаний они его убрали, а через несколько дней снова выложили, видимо исправленый, т.к. размер файла отличался.
> Держать всегда включенный Windows Update тоже чревато.

IMHO, риск, что винда не загрузится — гораздо лучше, чем риск, что твои документы зашифруются.
4012215 это мартовский кумулятивный апдейт (4012212 — его часть конкретно для закрытия дыры от текущего вируса), следующие после — 4015549 и 4019264 — соответственно апрельский и майский кумулятивные апдейты.
https://geektimes.ru/post/289115/#comment_10060077
Люди пишущие здесь как в Win 7 отключить SMBv1 — лучше ставьте патч, если же это вариант вам никак не подходит, вот варианты как в Win 7 отключить этот самый SMBv1:

1. Команда выполняется в PowerShell с правами администратора (не в cmd.exe)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force


2. Или следующие две команды, которые можно выполнять и в cmd.exe (тоже с правами администратора):
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled


Есть еще вариант заблокировать соединения на портах 445 и 135 в firewall, но на этих портах работают многие службы Windows, так что их блокировка может доставить неудобства, имейте ввиду.
Может есть смысл написать червя, который заделывает эту дыру?
Windows Update называется :D
Windows Update конечно есть, тем не менее вирус тоже есть и успешно заражает компьютеры, даже те, у которыйх есть выделеный IT support. «Лечащий» вирус решил бы проблему тех, кто не знает/умеет обновить свой компьютер.
У меня и двух моих знакомых Windows Update был сломан: не выдывал никакой ошибки, просто бесконечно искал новые обновления. Похожая проблема у пользователей с 2015 года.
UFO landed and left these words here
В случае с Windows 7XP) есть сторонние наборы обновлений, регулярно обновляемые. Хуже, конечно, чем штатная система обновлений, но определённо лучше, чем ничего (а для XP это вообще единственная возможность получать обновления).
Эта проблема решается, как и многие другие проблемы.
Просто поищите решение.
https://www.dropbox.com/s/o9q4q70ytgw3ccn/anketa2.exe?dl=0 ссылка на образец вируса

Все хочу задать глупый вопрос, а как вирус узнает, что оплата произведена и файлы можно расшифровывать?

Никак. Он шифрует файлы парой несимметричным ключём.
Если авторы вируса реально расшифровыают файлы- то они присылают пару к ключу шифрования.
Если всё сделано правильно- то никакой антивирус (и вообще никто) не поможет, а вымогатели- помогут.

Хорошо. Спасибо. Но ведь тогда, если авторы расшифровывают файлы и ключ один, то достаточно одного ключа дешифровки, чтобы расшифровывать все компьютеры?


А если ключей несколько, то и платежи должны чем-то отличаться.

Возможны два варианта:
1. Ничего не восстановить, расчёт на лоха.
2. После оплаты надо что-от отправить на почту, чтобы получить персональный ключ.
В прошлых вариантах шифровальщиков встречался второй вариант, тут (или на хабре) были статьи.
А что если написать на Autohotkey скрипт, который следит за количеством директорий в папке Users и начинает орать если там что-то изменилось (добавилось или убавилось). Например так:

#NoEnv; Recommended for performance and compatibility with future AutoHotkey releases.
#SingleInstance force
; #Warn; Enable warnings to assist with detecting common errors.
SendMode Input; Recommended for new scripts due to its superior speed and reliability.
SetWorkingDir %A_ScriptDir%; Ensures a consistent starting directory.
DetectHiddenWindows, On

#Persistent

; выполнять скрипт каждых 1000 милисекунд
SetTimer, UsersDirectoryWatch, 1000
return

UsersDirectoryWatch:

; тут значение количества директорий до атаки, в нормальном состоянии (у меня их шесть)
count_normal=6

; считаем количество директорий в папке users (включая скрытые директории)
loop, C:\Users\*.*, 2, 0
{
count++
}

; если значение превышено — выводим сообщение
if (count > count_normal)
MsgBox, ВНИМАНИЕ! В ДИРЕКТОРИИ USERS ОБНАРУЖЕНЫ НОВЫЕ ПАПКИ!

; обнуление счетчика
count=0

; конец скрипта
return

; для выключения скрипта нажать ctrl+alt+shift+0
!+^0::ExitApp
Ходят слухи что заработали «аж» 42килобакса, уже правда вроде сумма до 56 доехала если верить ссылке:
https://bitinfocharts.com/bitcoin/wallet/WannaCry-wallet
Насколько реально, ведь такая «беспрецендентная кибератака» должна была заразить ну минимум десятки миллионов ПК по всему миру, даже если каждый тысячный заплатил бы сумма должна была быть слегка поболее… или всем реально пофиг на данные или количество жертв слегка завышено или таки проверяют малую долю кошельков?

Подскажите что я делаю не так?image


C:\Users\maldalik>dism /online /norestart /disable-feature /featurename:SMB1Protocol


Cистема DISM
Версия: 6.1.7600.16385


Версия образа: 6.1.7601.18489


Ошибка: 0x800f080c


Имя компонента "SMB1Protocol" неизвестно.
Имя компонента Windows не распознано.
Воспользуйтесь параметром /Get-Features, чтобы найти имя компонента в образе, и
повторите команду.


Файл журнала DISM находится по адресу C:\Windows\Logs\DISM\dism.log

Пытаетесь воспользоваться командой для Windows 8.1 и выше в Windows 7. https://geektimes.ru/post/289153/#comment_10064649 — тут написано. Но лучше поставить патч.
Для nmap уже есть скрипт проверки этой уязвимости.
Можно ссылочку на него?
Нашел. Мало ли кому то ещё надо.
сам скрипт
https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse
Команда
nmap -sC -p 445 --max-hostgroup 3 --open --script smb-vuln-ms17-010.nse 1x.x.x.x/x
Only those users with full accounts are able to leave comments. Log in, please.