Как стать автором
Обновить

Комментарии 69

Не самая на мой взгляд обширная статья для перевода.

Лучшее, что я нашёл в 2 часа ночи. Хотел оперативней сделать, пока тема горячая, учитывая, что нужно было ещё пройти модерацию.

с локалкой то все ясно, а как оно по интернету ходит?
публично доступен SMB (порты 139, 445)

вероятно речь про проброс портов

Удивлен, что в серьёзных организациях на важных для бизнеса машинах (сервера/БД) используется ОС windows.
Ну хоть будет уроком на будущее.
проблема даже не в винде, а в том что она не обновляется месяцами ато и годами
Ещё больше удивитесь в том как вообще это всё работает, если заглянете в такую сеть))
Удивлен, что в серьезных организациях на важных для бизнеса машинах не установлена обновление которому уже месяц.
После того, как с десяткой трэш и угар творился — у людей, и тем более компаний, аллергия на установку свежих обновлений.
Если люди сами не могут поставить нужные и запретить установку не нужных обновлений — то должны обратиться для этого к специалистам.
А если специалист считает, что обновления для софта (особенно если это Windows, но к *nix или ios это тоже относится) ставить не нужно — то это не специалист.
Я помню как-то был пик зараженности с вирусом передающимся по флешкам, годков эдак 4-5 назад. Честно говоря не помню как он назывался, кажется он подражал системному файлу с раскладкой клавиатуры. У меня, на тот момент, было под аутсорс обслуживанием 200+ пумпуртеров в 20 средних-мелких компаниях(кто обслуживал такое понимает батхерд разнообразия), и ни один не был заражен! Да, я мухлевал — ставил пробные антивирусы, дефендеры виндоус, делал обновления в компаниях не покупавших ос для бизнеса, но не было ни одного заражения! Почему? Потому что даже примитивные антивирусы его ловили и майкрософт исправил баг за пару недель до пика активности вируса.
И вывод, как и в сегодняшней проблеме, простой — виновником проблем с пумпуртерами в 99,1% является рукожопство «админя», а вовсе не «проклятые мелкомягкие».
У Вин про есть даже галочка «отложенные обновления», чтобы не сразу обновлять, а попозже, вероятно, чтобы избежать неловких ситуаций, когда после обновления все поломалось и не работает. Плюс нельзя в серьезной огрганизации взять и накатить обновление, сначала надо все стопицот приложений протестировать, что не поломаются.
Вы правы. В Вин есть такая галочка, а в WSUS давно есть такая функция. Но МЕСЯЦ Карл! С момента решения проблемы прошел не день, ни два, ни неделя а МЕСЯЦ!
Я вижу только одну проблему — человеческий фактор. Почему? Потому что на примитивный запрос «защитник виндовс WannaCry», даже сейчас, в тренде идет ссылка на «Как отключить Защитник Windows и убрать иконку Защитника в ...». ИМХО это показатель
MS Office и Windows является стандартом.
Чему удивляться?
> MS Office и Windows является стандартом.

ГОСТ не подскажете?
Ну или ISO хотя бы.
Скорее уж rfc, я де о всём мире говорю, а не только о рф

А по сути — дефакто это так
Статистику по бизнесу я не нашёл, но общемировая статистика говорит, что я прав
http://www.itrew.ru/windows/statistika-operacionnykh-sistem-za-ap.html
Я скажу больше) в серьезных организациях лоббируют микрософт-продукты, по «причине» снижения расходов на спецов. Дешевле нанять школьника с сертификатами на право расстановки галочек в гуи, чем держать дорогого и грамотного спеца. Ну и финпроекты дорогие) Сам свидетель нескольких отказов руководства от уже стабильных и налаженных unix-систем.
Ребят, а зачем дизлайкать? Разве в данной ситуации не очевидно, что windows системы куда более уязвимы, чем unix?
А смысл этого вируса под linux/unix desktop? Уязвимость где угодно можно найти, был бы смысл. Ну заразят ubuntu (и все клоны) desktop, например, через найденую уязвимость — это будет 1% всех пользователей пк. Имел бы линукс десктоп такой же процент пользователей, как сейчас на винде — было бы такое же количество вирусов под линукс.
А почему вы о десктопе говорите?
Заражать сервера разве не выгодно?
Почему нет вирусов для заражения серверов?
Типовые сценарии — вымогательство шифровальщиком денег или кража аут. данных с последующей кражей денег со счетов. Шифрование данных — чем шире охват, тем лучше, больше прибыль. Деньги с личных счетов на серверах не переводят. Квалификация среднего «оператора» тоже позволяет на десктопе себя вольготнее чувствовать всякой дряни. Остается какой-нибудь промышленный шпионаж, целевая кража данных, это тоже мизерный сегмент.
вы сейчас, это серьезно?
https://en.wikipedia.org/wiki/Linux_malware
Архитектура UNIX систем более устойчива к вредоносному ПО — не получится так просто взять и без ведома пользователя (и без sudo) переписать важные для работы системы файлы. Так что тут вопрос не только в количестве пользователей.
В NT мире тоже есть, знаете ли, разграничение по правам доступа к файлам.
Вы хоть сами понимаете насколько ваше утверждение ложно?
sudo по сути не даст вам никакой защиты.
Ну отлично, после шифровальщика у вас сохранятся все системные файлы! Они ж такие ценные, ведь система аж 20 минут с нуля устанавлвиается!
А вот все пользовательские данные будут благополучно зашифрованы без всяких рут прав.

И чем же она более устойчива? Разве в винде без прав администратора можно переписать важные для системы файлы? Если уязвимость в процессе который работает с повышенными правами, то и remote code execution будет с повышенными правами. Это одинаково и в линуксе и в винде.


К тому же криптор не переписывает важные для системы файлы. Как раз таки система должна работать исправно (чтобы отобразить шантажное сообщение). Криптор шифрует пользовательские файлы (курсачи, фоточки, базы mysql и т.д.)

Жесть какая-то. У меня Win 10 с автоматическими обновлениями поэтому пронесло, аминь. Но в виртуалбоксе стоит Win 7 для тестов, естественно сто лет в обед не обновлялась, у виртуального хоста есть доступ к интернет (через роутер по кабелю) Мне интересно, если виртуалка заразиться, то зараза может из гостевой ОС перекинуться в основную?

Виртуалка для этой заразы ничем от основной оси не отличается, если порты проброшены.
то зараза может из гостевой ОС перекинуться в основную?

Эта не сможет, но дыры в ПО для виртуализации периодически находят.

Сможет, если директории родительской операционки расшарены в гостевой. Этой штуковине все равно, что шифровать, т.к. оно умеет шифровать сетевые шары.

только из-за уязвимостей в виртуалбоксе
так остановили же уже распространение малвари этой сегодня

https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
Да. Причем почитайте твиттер — сделали это случайно :D

От переводчика: C&C домен специально был зарегистрирован, согласно твиттеру компании MalwareTech, чтобы остановить или приостановить распространение малвари.

Остановили распространение этой модификации.
В понедельник выйдет новая версия, с другим доменом. Или вообще без стоп-домена — зачем он?
Так что только патчиться.

Да, вобщем-то писали, что зачастую для предотвращения реверс-инжениринга малвари используют проверку по нескольким случайно сгенерированным доменным именам. И если все они резолвятся с одного айпишника, то значит малварь запущена в сендбоксе и тогда она не выполняется. Проверять по одному домену к тому же хардкодить его было слегка глупо со стороны разработчиков)
А есть утилита для расшифровки файлов?
Нет. И, кажется, не предвидится.
Походов и вправду не предвидится пока сам создатель не «сольет» мастер-ключ.
Нет у таких вымогателей мастер ключа уже давно. Сейчас у каждого компа свой ключ.
Поэтому и расшифровщика не будет.
Мне уже пошли ставить обновление на XP, Microsoft подсуетился. :D
Кстати, да, в виде исключения они выпустили Security Update на XPшку тоже. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
А где взять обновление на XP?
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Везде пишут что используется EternalBlue для заражения, и заражаются все версии без патча. Но он же работает только на Windows 7 и Windows Server 2008, разве нет? Или у них свой софт?
Кажется, там EternalBlue используется в том числе, то есть используются и другие дыры.
судя по расширениям файлов, червяк писали не «русские» так как 1cd не указан в списке…
А создатель зловреда держит слово? Происходит ли расшифровка файлов после оплаты? :)
По крайней мере он держит слово насчёт удалении файлов после того как срок оплаты истечет: https://twitter.com/laurilove/status/863116900829724672
зашифровывая файлы, которые на них находятся. После он требует перечислить какое-то количество биткойнов за расшифровку.

В России уже ввели обещанную уголовку за использование Бит-Коинов?

Поясню свой вопрос: того кто заплатит выкуп в биткоинах вымогателю, не посадят за "незаконный оборот денежных средств"?

Биткоины не деньги, на них права через суд не докажешь, так что какие-такие незаконные обороты.
Махинации с виртуальными денежными знаками и имущественными правами в виртуале если и принимаются расследовать, то расследуют как мошеннические действия, направленные на хищения реальных средств.
Банки легко подают в суды, в случае поимки авторов вирусных атак. Информации, об удачных исках на возмещение ущерба частных лиц, не попадалось.
нет. биткоин пока не запрещен. но по последним действиям его скорее всего легализуют
Вы всё проспали. «В России полностью отказались от идеи вводить уголовную ответственность за изготовление и использование виртуальных денег. При этом в августе прошлого года на Новом Арбате даже появился первый обменный пункт виртуальных денег. Сейчас в обменнике доступны только операции по продаже биткоинов, а обмен проводится исключительно в частном порядке. Пункт работает круглосуточно, причем продать биткоины можно как за наличный, так и безналичный расчет.»
Мне всё равно не понятно как он распространяется. Допустим у меня есть локалка, один комп из которой смотрит в инет. Если он заразился, то зловред может зашифровать всё на заражённом компе и с этого компа зашифровать все расшаренные папки на других компах. Это понятно. Но сами-то компы же останутся нормальными? Просто в их сетевых папках «каша» будет. Как он дотянется до несетевых данных на других компах? Как-то через пресловутое MS17-010 что ли? И даже если так, то как он активируется на исходной машине — файл же кто-то запустить всё равно должен — скачать, нажать на энтер как минимум…
Обыкновенная уязвимость класса remote code execution. Отправляем специально сформированное «неправильное» сообщение по сети уязвимой программе (SMB server в данном случае), при его обработке происходит ошибка, результатом этой ошибки становится выполнение находящегося в сообщении (или уже находящегося на атакованной машине) кода. Запустившийся код затем устанавливает на машину зловреда.
А, это RCE. Понятно тогда. Спасибо)
Второй запуск получает IP-адрес зараженной машины и пытается подключиться к 445 TCP порту каждого IP-адреса внутри подсети.


Причем тут сетевые папки? Червь будет размножать себя в локалке и заразит максимальное количество хостов, у которых 445 открыт и не установлены обновления.
Спасибо за информацию! Мелкая опечатка (можно поправить) в самом конце: не
Разрешения, шифруемых файлов:
, а Расширения…
количество запросов уже превышало 1400 в час


Это число не всего запросов в мире, а только на их сервисе.
Логично. Добавлю, хотя в оригинале это не было специально обозначено.
То, что у вас обозначено в виде управляющих серверов, на самом деле является Entry (Guard)-нодами Tor. Они каждый раз разные.
Добрый день, у Вас в статье два раза повторяется адрес tor:

188[.]166[.]23[.]127:443
188[.]166[.]23[.]127:443


Итого должно быть 14 адресов. Поправьте, пожалуйста.
В новостях сообщения, что по схожести кода, вирус, типа, от северокорейцев.
Кто-нибудь видел, что там сравнивали, насколько это соответствует истине?
https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
Господа! Два вопроса! Как WannaCry понимает кто заплатил для расшифровки файлов, если такое имеется и вирус расшифровывает файлы? Второй вариант нужен анализ вируса на виртуалке изолированной от остальной сети. Где скачать оригинал сборки WannaCry ?)))
Не знаю, как именно в нем, но обычно получается так, что файлы шифруются открытым ключом, который так или иначе привязан к идентификатору машины (например, на сервер отправляется закрытый ключ и ИД машины, или просто ИД машины и сервер присылает открытый ключ). При оплате указывается этот ИД, по которому выдается конкретный закрытый ключ для этой машины.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории