Комментарии 118
Всего то поменять пару строк в коде и всё продолжится до тех пор, пока все уязвимые системы не накатают обновления, которые закрывают дыру. Игра в кошки-мышки
А необновляемая винда будет на каждом десятом вокзальном инфоэкране, на каждом десятом банкомате — повсюду, до тех пор, пока надо за неё платить (ну или пока до людей не дойдёт, и всюду будет linux).
Возможно, до людей таки дойдёт, когда то же самое начнёт происходить с android, который тоже ничерта не обновляется у большинства пользователей.
Возможно, до людей таки дойдёт, когда то же самое начнёт происходить с android, который тоже ничерта не обновляется у большинства пользователей.
НЛО прилетело и опубликовало эту надпись здесь
Я лично встречал сотни компьютеров с отключенными или не работающими обновлениями на винде. И ни одного с отключенными или не работающими обновлениями на linux (речь только о десктопах: я не учитываю андроиды, тв, тв-приставки и эмбедд).
Такой уж у меня опыт. Предположения, почему так происходит, и прочую аналитику — оставлю уважаемым читателям.
Такой уж у меня опыт. Предположения, почему так происходит, и прочую аналитику — оставлю уважаемым читателям.
Так о том собственно и речь: у любой оси есть дыры и чем больше популярность у оси — тем чаще этими уязвимостями будут пользоваться.
Необновляемая винда на банкоматах конкретно для этой угрозы не так страшна, т.к. в банкоматах никакой ценной информации не хранится (ну разве что логи и записи с камер). Да и сидят эти системы в изолированной сети за двумя NATами (по крайней мере в той организации, где я работаю).
Необновляемая винда на банкоматах конкретно для этой угрозы не так страшна, т.к. в банкоматах никакой ценной информации не хранится (ну разве что логи и записи с камер). Да и сидят эти системы в изолированной сети за двумя NATами (по крайней мере в той организации, где я работаю).
А нельзя, держа под контролем ОС, заставить банкомат сыпать деньги?
Как показывает практика из последних событий с «бестелесным вирусом» — можно, причем ОС держать в заложниках не нужно. Достаточно знать как правильно обратиться к контроллеру диспенсера, который отвечает за процесс выдачи банкнот.
Как я говорил выше — эта вирусня не страшна для старых необновляемых систем на древней XP, т.к. банк потеряет только на времени простоя банкомата, что уйдет на выезд специалиста и на раскатку образа.
Как я говорил выше — эта вирусня не страшна для старых необновляемых систем на древней XP, т.к. банк потеряет только на времени простоя банкомата, что уйдет на выезд специалиста и на раскатку образа.
Если бы это было возможно, сейчас бы каждый школьник опустошал банкоматы.
Там всё гораздо интересней — ОС там не больше чем фоторамка, все остальные ответственные узлы имеют свой уровень изоляции, шифрование и канал связи с банком. Даже несчастный пин-пад имеет в своём составе независимый криптографический процессор.
Максимум что можно сделать имея под контролем ОС — это парализовать работу банкомата.
Там всё гораздо интересней — ОС там не больше чем фоторамка, все остальные ответственные узлы имеют свой уровень изоляции, шифрование и канал связи с банком. Даже несчастный пин-пад имеет в своём составе независимый криптографический процессор.
Максимум что можно сделать имея под контролем ОС — это парализовать работу банкомата.
Совсем свежий случай с малварью, которая держится только в оперативной памяти АТМ
Атака была выполнена путём внедрения в банковскую сеть и загрузки зловреда в оперативку АТМ. Хотя в остальном правда — у каждого узла свой уровень изоляции, даже у карт-ридера.
Атака была выполнена путём внедрения в банковскую сеть и загрузки зловреда в оперативку АТМ. Хотя в остальном правда — у каждого узла свой уровень изоляции, даже у карт-ридера.
сегодня только настройщик банкоматов сбербанка приходил и показал, что там древняя винХР стоит, а ей, вроде как, WannaCry не страшен…
Вообще — какого фига на банкоматах винда?
OS/2 форева :)
OS/2 форева :)
Когда linux станет такой же популярный как windows будут и там вирусы.
Поразительно, насколько тупым нужно быть, чтобы так делать? А если этот домен, будь он активен, запускал бы вайп пораженных систем?
Нуу… Если подумать… то наверно вайпнулись бы новые пораженные системы.
А если честно то не виже ничего тупого, хотел человек посмотреть для чего домен.
А если честно то не виже ничего тупого, хотел человек посмотреть для чего домен.
Ну так и проверил бы в лаборатории, а то из описания следует, что он увидел, что тварь стучится в домен, так он зарегистрировал его и позволил зараженным машинам его увидеть. А надо было СНАЧАЛА просмотреть в коде, для чего этот домен нужен, а ПОТОМ его активизировать.
Согласен, мог бы тупо создать домен в виртуалке. а не в миру. Тем более не пришлось бы ждать обновления DNS записей.
Я думаю, что изначальная цель регистрации была не «посмотреть, что он там посылает», а опередить злоумышленников с регистрацией, потому что, наиболее вероятно, он с этого домена мог некоторые управляющие сигналы получать. Об этом как раз написано в статье: обычная практика для других зловредов, когда домены случайно генерируются, и поняв алгоритм их генерации, можно «перехватить» у создателей управление ботнетом.
Почему же злоумышленники тогда заранее домен не зарегистрировали? Или они не знают, что генерит их зловред?
Объяснили же в статье, это защита от запуска в виртуальной среде. Стучимся по какому-то рандомному адресу (абракадабре из символов). Ответ и не ожидается. Злоумышленники в данном случае в принципе не собирались ничего регистрировать.
Почему же злоумышленники тогда заранее домен не зарегистрировали?
На сколько я знаю — такие домены очень быстро блокируют, потому домены каждый день генерируются новые по определенному алгоритму и закупить доменов на 300 дней вперед — довольно муторно и дорого. Потому безопасники покупают домен, который будет использоваться через 50 дней и останавливают распространение ботнета.
Если можно, поделитесь опытом быстрого дизассемблирования и быстрого анализа кода профессионально сделанных вирусов.
Не очень понял, почему я должен делиться опытом. Я себя специалистом по безопасности не называл и никаких доменов не регистрировал, просто я считаю, что если чувак увидел, что один экземпляр заразы стучится в домен, похожий на рандомный, и тут же побежал его регистрировать, то он ни разу не специалист, вам так не кажется?
Дело в том, что linka1975 подумал, что раз вы позволяете себе такие комментарии, то вы уже проделывали то что советуете другим.
А на самом деле, у вас Эффект Даннинга — Крюгера
Вы "Я себя специалистом по безопасности не называл и никаких доменов не регистрировал", при этом позволяете давать специалисту советы в стиле "А надо было СНАЧАЛА просмотреть в коде, для чего этот домен нужен, а ПОТОМ его активизировать"
Вы — типичная домохозяйка, которая конечно лучше всех знает что именно и в какой последовательности надо делать. Идите обратно на кухню.
просто я считаю, что если чувак увидел, что один экземпляр заразы стучится в домен, похожий на рандомный, и тут же побежал его регистрировать, то он ни разу не специалист, вам так не кажется?
Нет, не кажется.
1) Вот и я подумал, что у вас нет опыта дизассемблирования, что и требовалось доказать.
2) Не кажется.
Он сначала логично проверил существование этого домена, например на кого он зарегестрирован, ну и сообщить куда следует, чтобы его заморозили…
Но домена не существовало, а потому логично было опередить злоумышленников.
.
2) Не кажется.
Он сначала логично проверил существование этого домена, например на кого он зарегестрирован, ну и сообщить куда следует, чтобы его заморозили…
Но домена не существовало, а потому логично было опередить злоумышленников.
.
Он написан достаточно понятно, там нет какой-либо обфускации.
… на чём написан, интерестно…
и во-вторых, всё прошло так буднично и легко — и написание вируса, и его анализ…
выходит, единственным эсклюзивом был эксплойт от АНБ…
Уже многие пишут, что «дыра» в протоколе была заложена исскуственно, изначально.
Вот и директор Майкрософт публично покритиковал АНБ,
что как бы намекает на игру на публику, с целью отвести от себя критику,
т.к. о неформальных договорённостях крупных компаний с АНБ многократно говорилось…
и во-вторых, всё прошло так буднично и легко — и написание вируса, и его анализ…
выходит, единственным эсклюзивом был эксплойт от АНБ…
Уже многие пишут, что «дыра» в протоколе была заложена исскуственно, изначально.
Вот и директор Майкрософт публично покритиковал АНБ,
что как бы намекает на игру на публику, с целью отвести от себя критику,
т.к. о неформальных договорённостях крупных компаний с АНБ многократно говорилось…
НЛО прилетело и опубликовало эту надпись здесь
Ну у меня еще много идей, для чего этот домен мог бы быть нужен. Например, переключить заражение со случайных ip на сплошной скан локалок.
Нельзя просто так брать и активировать домен в настоящем интернете, на который стучится зараза, не понимая, для чего он ей нужен.
Нельзя просто так брать и активировать домен в настоящем интернете, на который стучится зараза, не понимая, для чего он ей нужен.
Вайп тоже вполне мог бы остановить распространение, так что это всё равно меньшее из двух зол. Но заглянуть в IDA, конечно, недолго.
https://intel.malwaretech.com/botnet/wcrypt Показывает что заражения не прекратились. Так, чему верить?
Пошло на спад.
Карта получает информацию от этого зарегистрированного домена и показывает, то с каких IP к этому домену постучались.
А раз семпл завершается после подключения к домену, то это показывает что распространение с зараженных компов идет, но скорее всего уже безвредное.
А раз семпл завершается после подключения к домену, то это показывает что распространение с зараженных компов идет, но скорее всего уже безвредное.
Есть версия без тормозов.
>>>>Парень случайно остановил глобальное распространение криптовымогателя WannaCrypt
>>Блоггер зарегистрировал домен на себя за 8 фунтов ($10,69). Это стандартная практика, говорит он.
>>изучить работу командного центра ботнета, собрать данные о географическом распределении ботов, провести обратную разработку софта. Так что регистрация этих доменов — нормальное дело.
>>Автор блога MalwareTech Blog говорит, что за прошлый год он зарегистрировал несколько тысяч доменов.
Да ну ведь нет никакой случайности,
как и говорится в самой же статье регистрация домена это целенаправленное действие при изучении зловреда.
Вполне очевидно что зарегистрировать домен с именем «iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com» вероятность_крайне_мала.jpeg
>>Блоггер зарегистрировал домен на себя за 8 фунтов ($10,69). Это стандартная практика, говорит он.
>>изучить работу командного центра ботнета, собрать данные о географическом распределении ботов, провести обратную разработку софта. Так что регистрация этих доменов — нормальное дело.
>>Автор блога MalwareTech Blog говорит, что за прошлый год он зарегистрировал несколько тысяч доменов.
Да ну ведь нет никакой случайности,
как и говорится в самой же статье регистрация домена это целенаправленное действие при изучении зловреда.
Вполне очевидно что зарегистрировать домен с именем «iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com» вероятность_крайне_мала.jpeg
Он не домен случайно зарегистрировал, а червя случайно остановил, потому что не знал, для чего этот домен червям нужен.
>>Это стандартная практика, говорит он… говорит, что за прошлый год он зарегистрировал несколько тысяч доменов.
Это стандартная практика тратить несколько десятков тысяч баксов в год на регистрацию доменов? )))
Это стандартная практика тратить несколько десятков тысяч баксов в год на регистрацию доменов? )))
НЛО прилетело и опубликовало эту надпись здесь
Вот так и становятся национальными героями.
Я случайно распространение криптовымогателя.
В качестве временной меры полезно прописать этот домен в локальной сети. Особенно если не все ПК смотрят в интернет.
А мог так же случайно присесть на N лет. Попробуй докажи, что не ты запустил вирус, если для его управления используется зарегистрированный на твоё имя домен. Может и для него это было уроком и теперь сперва будет изучать код, чтобы потом не рвать остатки волос на жо.
А кто должен был это сделать, АНБ, которое этот эксплойт прошляпило (если не само внедрило в Винду)? Куда обращаться в таких случаях, в полицию что ли? А если в лесу незатушенный костёр увидел, не заливать по-пионерски ни в коем случае, чтобы ДНК не оставить?
Я не об этом, а о том, что если что, то этим хакерам было бы очень сложно доказать, что они не при чём и зарегистрировали домен из исследовательских побуждений.
Про пионеров. Вот видишь ты костёр у стены ядерного реактора, а рядом стоит канистра с какой-то жидкостью. Ты берёшь эту канистру без перчаток и, не понюхав, выливаешь содержимое на костёр. Тебе повезло и там была вода, костёр потушен, ты герой. Другая ситуация — в канистре бензин. Среди руин нашли не пострадавшую канистру (ты «счастливчик»), на ней твои отпечатки пальцев, а ещё ты паспорт убегая выронил и он тоже не сгорел при взрыве реактора. Докажи, что ты не устраивал поджог, а хотел потушить, вылив неизвестное содержимое канистры…
Про пионеров. Вот видишь ты костёр у стены ядерного реактора, а рядом стоит канистра с какой-то жидкостью. Ты берёшь эту канистру без перчаток и, не понюхав, выливаешь содержимое на костёр. Тебе повезло и там была вода, костёр потушен, ты герой. Другая ситуация — в канистре бензин. Среди руин нашли не пострадавшую канистру (ты «счастливчик»), на ней твои отпечатки пальцев, а ещё ты паспорт убегая выронил и он тоже не сгорел при взрыве реактора. Докажи, что ты не устраивал поджог, а хотел потушить, вылив неизвестное содержимое канистры…
Регистрация домена, вероятно, никакого тяжелого состава представлять не может, нет умысла и все такое…
а вот сама возня с таким ПО кажется с России отправила бы героя в места не столь отдаленные.
а вот сама возня с таким ПО кажется с России отправила бы героя в места не столь отдаленные.
Вопрос в том, смогли бы они доказать отсутствие умысла. Т.е. не в данном случае, а если бы наличие этого домена приводило к каким-то деструктивным последствиям. Например вайп или ещё какие-то деструктивные действия. Докажи, что не верблюд.)
Учитывая, что была нарушена работа больницы, не ездили скорые и были отменены операции, то вполне могли быть смертельные исходы, так что нарваться на иски шанс был бы очень большой. А дальше уже от изворотливости адвокатов и заинтересованности прокуратуры всё зависело бы.
Учитывая, что была нарушена работа больницы, не ездили скорые и были отменены операции, то вполне могли быть смертельные исходы, так что нарваться на иски шанс был бы очень большой. А дальше уже от изворотливости адвокатов и заинтересованности прокуратуры всё зависело бы.
Я, конечно, полный профан в компьютерной вирусологии, но эта тема не даёт мне покоя.
1. Зачем зловреду вообще обращаться к какому-либо домену? Это для меня смотрится как ненужный костыль.
2. Что мешает вредителям просто поменять название домена, к которому он будет обращаться? Каждый случайно набранный лицом на клавиатуре домен ведь регистрировать никто не будет.
1. Зачем зловреду вообще обращаться к какому-либо домену? Это для меня смотрится как ненужный костыль.
2. Что мешает вредителям просто поменять название домена, к которому он будет обращаться? Каждый случайно набранный лицом на клавиатуре домен ведь регистрировать никто не будет.
Точный ответ знает сам автор, а версий/вариантов (кроме ошибки) может быть много. Например: во многих корпоративных сетях доступ в интернет есть только у «избранных» пользователей/серверов — именно через них вирус и пролезает далее на остальные. Соответственно, если вирус будет сразу «убивать» такие хосты — атака на остальную сеть (ежели админы хоть немного шевеляться) будет не такой эффективной.
1. Элемент управления атакой, очевидно же.
2. Ничего не мешает. Больше того, уже зараженные машины вполне возможно пропатчить.
3. Не давать покоя должен тот факт, что с марта месяца все уязвимые системы могли быть скомпрометированы более грамотными товарищами, эти уж больно на школьников похожи.
2. Ничего не мешает. Больше того, уже зараженные машины вполне возможно пропатчить.
3. Не давать покоя должен тот факт, что с марта месяца все уязвимые системы могли быть скомпрометированы более грамотными товарищами, эти уж больно на школьников похожи.
В статье пишут, что это была не корректно реализованная защита от песочницы. В песочнице любые обращения к любым Интернет-адресам эмулируются как успешные (чтобы узнать что будет делать зловред), и червь смотрит если произвольно сгенерированное доменное имя существует, значит он — в песочнице и прекращает свою деятельность, чтоб не «спалится».
Странная логика. Если червяк в песочнице, так та песочница явно контролирует все исходящие запросы и, соответственно, сразу увидит подозрительные обращения по странным адресам. В итоге — «не спалиться» не получится. Кроме того, зачем так «скрываться», если тебя целенаправленно запустили в песочнице? Похоже на попутку спрятаться в хорошо освещённой стеклянной комнате. Ведь и так уже известно, что ты там есть (и, скорее всего, где именно ты там есть).
Ну и провокационный вопрос: если это некорректно реализованная защита, то какая должна быть корректной? И существует ли она в принципе? Сдаётся мне, что нет.
*Тут была простыня текста объясняющая как и почему код защищается от песочницы, но те кто этим занимаются и так знают это лучше меня, а распространять такие знания не очень хочется, извините.*
Не валяйте дурака, в разработке ПО никаких секретов нет и быть не может, если скомпилированный код выпущен, его всегда можно изучить.
Не всегда это имеет смысл. Попробуй изучи обфусцированный код. У тебя лет 5 уйдёт чтобы распутать цепочки бессмысленных вызовов, для этого и существуют песочницы — код сам себя распутывает и выполняется как должен. Остаётся только взять лог вызовов системных функций и смотреть что происходит.
Изучить код конечно же можно всегда только посчитай или прикинь сколько у тебя на это времени уйдёт, за это время всё давным давно уже закончится и твой анализ кода никому не нужен будет, разве что найдёшь парочку пасхалок.
Изучить код конечно же можно всегда только посчитай или прикинь сколько у тебя на это времени уйдёт, за это время всё давным давно уже закончится и твой анализ кода никому не нужен будет, разве что найдёшь парочку пасхалок.
Человек выше этажом утверждает, что существуют некие секретные методы обнаружения песочницы, о которых рассказывать в приличном обществе не принято. А я ему говорю, что это чушь собачья. Не может вирус содержать внутри себя секретный механизм обнаружения песочницы.
Если есть подозрение, что в конкретном экземпляре есть «секретный алгоритм», то он очень быстро перестанет быть секретным, и уйдет на это намного меньше, чем пять лет.
Если есть подозрение, что в конкретном экземпляре есть «секретный алгоритм», то он очень быстро перестанет быть секретным, и уйдет на это намного меньше, чем пять лет.
Вы, видимо, невнимательно прочитали мой комментарий. Спору нет, техники защиты от анализа в песочницах есть, они применяются и, может быть, даже помогают от скорого обнаружения. Но, простите, какая же эта «защита», если:
- нас целенаправленно запустили в песочнице, а значит, уже вычислили;
- мы прямо-таки кричим всему миру — «смотрите, я здесь», отсылая запрос на явно подозрительный адрес? Которого ещё и нет, к тому же. То есть, ловится на раз-два.
Цель же всего этого — определить песочницу и затаиться, если мы в ней. Вместо этого делается абсолютно противоположная вещь. Да и техника обнаружения, как бы это выразится помягче, ненадёжная. Кто мешает песочнице проверить реальное существование хоста и отвечать согласно этому знанию?
Ну и, уж сколько твердят миру, что security through obscurity ещё ни к чему хорошему не приводила, а вы опять туда же. Слово не воробей… в общем, вы поняли.
КМК запросто могли забыть seed() у генератора рандома вызвать, так что все экземпляры обращаются к одинаковому «случайному» адресу. И это конечно полный фейл.
Ну так авторам вируса и надо было имя рандомно генерировать каждый раз, а не использовать фиксированную строку.
Рассмотрим «песочницу» — окружение для тестирования таких вот вирусов. Естественно, песочница изолирована, и не может допустить доступ запущенного в ней зловреда в сеть. Однако, если песочница будет блокировать все сетевые подключения — вирус может понять что он в песочнице, или к примеру не сработать так, как надо из-за того, что на этом компьютере, как он думает, нет интернета.
Что же делать? Создатель песочницв принимает решение — мы будем отправлять 200 OK на все сетевые запросы изнутри песочницы, а вирусы будут думать, что они работают на реальном компе, подключенному к интернету. Ха-ха! Мы обдурили вирусы.
Как бы не так! Вирус стучится к домену, который заведомо незарегистрирован. Ожидает получить таймаут ДНС, или что-то типо того. Но получает 200 ОК, потому что песочницв понятия не имеет о том, что домен незарегистрирован. Вирус понимает, что что-то тут не так — и аварийно завершает работу!
В результате ваш антивирус его не раскусил, говорит что файл не заражён, вы его запускаете на рабочем окружении — и попадаете на виртуальные монетки.
НО! После того как парень зарегистрировал домен и повесил на него какой-то скриптик — весь Интернет стал для вируса «как бы» песочницей, в которой он аварийно завершает работу. Бинго!
Что же делать? Создатель песочницв принимает решение — мы будем отправлять 200 OK на все сетевые запросы изнутри песочницы, а вирусы будут думать, что они работают на реальном компе, подключенному к интернету. Ха-ха! Мы обдурили вирусы.
Как бы не так! Вирус стучится к домену, который заведомо незарегистрирован. Ожидает получить таймаут ДНС, или что-то типо того. Но получает 200 ОК, потому что песочницв понятия не имеет о том, что домен незарегистрирован. Вирус понимает, что что-то тут не так — и аварийно завершает работу!
В результате ваш антивирус его не раскусил, говорит что файл не заражён, вы его запускаете на рабочем окружении — и попадаете на виртуальные монетки.
НО! После того как парень зарегистрировал домен и повесил на него какой-то скриптик — весь Интернет стал для вируса «как бы» песочницей, в которой он аварийно завершает работу. Бинго!
cmd dism /online /norestart /disable-feature /featurename:SMB1Protocol
пишет что dism не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
И толку от вашей пилюли юзерам?
пишет что dism не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
И толку от вашей пилюли юзерам?
Может пора обновить ХР?
На сколько я помню, DISM встроен стал только начиная с десятки. По крайней мере на восьмерке я его ставил отдельно вместе с целым пакетом программ от майков.
то есть если дома на вин7 его не ставить то и дыры не будет? на ХРх64 со всеми обновлениями его нет, на вин10 отключатеся (с правами администратора)
Кого «его»? DISM, что ли? Так дыра то не в нем, а в SMB. А DISM — мега полезная утилита, с помощью неё только винду и ставлю.
мысль была — а что использует этот протокол? дисм? а нафиг он мне дома? поставить 7ку можно и с флешки, П.С. (сам себе кулцхакер) роутером у меня на одноплатном атоме харденед-генту в ip tables drop аются все входящие кроме как к lamp на сайт, с осью на одноразовом сд-роме — если что-то глючит -ресет (правда гемор что-то поменять, система из 193 файлов компилится 12 часов, потом новый диск нарезать…, хотя в 3 гига озу влезает
позавчера много футбол смотрел, полез искать версию smb протокола на роутере, с аналогией с samba, уронил роутер, по ссш, искал клаву-дви, версия самбы 4, протокол в2… а линух смб и вин смб совсем разное варенье
вопрос — зачем дома AD и dism?
Мне с ним удобнее. У меня, в основном, все винды на внешках стоят, а туда сама винда ставиться вообще никак не хочет. Причём даже на Thunderbolt диск не ставится (раньше не ставилась, сейчас — не знаю). Остаётся только DISM. Да и если приносят под переустановку что-то: диск вынул, образ развернул, загрузчик поставил и вперёд. DISM же не только разворачивает образы, он их и захватывать умеет. Причём жмёт — буть здоров. Так что для себя применение я нашёл этой утилитке, жаль, что узнал про неё только года четыре назад.
Начиная с Vista.
«Уязвимость также можно закрыть, полностью отключив поддержку SMBv1:
dism /online /norestart /disable-feature /featurename:SMB1Protocol»
Для домашней системы этого достаточно без установки ms17-010?
dism /online /norestart /disable-feature /featurename:SMB1Protocol»
Для домашней системы этого достаточно без установки ms17-010?
Этого достаточно только чтобы закрыть дыру в SMBv1, а патч может закрыть и другие связанные с ним дыры.
Зайдите на speedguide.net/port.php?port=445 и посмотрите какой большой список дыр только в одном из сервисов RPC на этом порте в Windows.
Зайдите на speedguide.net/port.php?port=445 и посмотрите какой большой список дыр только в одном из сервисов RPC на этом порте в Windows.
если у вас нет внешнего ip адреса, или у вас динамический адрес от провайдера, то скорее всего вам пофиг.
не играйте в онлайн-казино — я @ся переставлять родственникам 7ку на завирусованном ноуте,
если вам принесли флешку с фотками котика — не отказывайтесь от сканирования каспера — внешнего носителя.
улыбок и котиков.
(хотя stuxnet на флешках переносился) (вы же уран не обогащаете в стиральной машине)
не играйте в онлайн-казино — я @ся переставлять родственникам 7ку на завирусованном ноуте,
если вам принесли флешку с фотками котика — не отказывайтесь от сканирования каспера — внешнего носителя.
улыбок и котиков.
(хотя stuxnet на флешках переносился) (вы же уран не обогащаете в стиральной машине)
Не хочу занудничать, но…
Что бы не долбатся с частой переустановкой 7-ки не давайте людям работать на компе под админом.
Админ будет, но не для постоянной работы на компе. А пользователи буду работать с обычной учеткой без прав админа.
Что бы не долбатся с частой переустановкой 7-ки не давайте людям работать на компе под админом.
Админ будет, но не для постоянной работы на компе. А пользователи буду работать с обычной учеткой без прав админа.
Однако, от локеров это не спасёт от слова совсем. Локеру напротив очень интересны именно пользовательские данные, доступ к которым закрыть для самого же пользователя не имеет смысла.
А система… чаще всего её можно поднять с бэкапа, по крайней мере нудно переставлять систему и все нужные приложения не надо будет.
И ещё этот пресловутый UAC, который для пользователя услужливо делает дыру в идеологии «не работать под пользователем».
А система… чаще всего её можно поднять с бэкапа, по крайней мере нудно переставлять систему и все нужные приложения не надо будет.
И ещё этот пресловутый UAC, который для пользователя услужливо делает дыру в идеологии «не работать под пользователем».
НЛО прилетело и опубликовало эту надпись здесь
Под пользователем вирь не сможет закрепится в системе и не сможет много чего еще к примеру отключить теневые копии и удалить их. UAC под пользователем без прав админа это нормально и что бы UAC уведомления не отображал а просто блокировал действия. Само собой одного UAC мало.
И всё это не могли сделать сотрудники Касперского? За что мы им деньги платим? Реверсануть код вируса — первейшее дело. Моя мнительность может подумать что им выгодна шумиха в СМИ, рождающая мысли типа "вирусы идут, покупайте защиту!"
есть kaspersky-free, на главной странице сайта — для дома — бесплатные версии.
не благодарите.
разбаньтесь в гугле
не благодарите.
разбаньтесь в гугле
Я как представитель госучереждения написал. Именно платим, причём это деньги налогоплательщиков.
дрючте аникейщиков, почему сервера в сеть открыты.
это не отменяет вопроса почему после стакснет остались открытые порты, тем более гос серверов в сеть
ну и если вам нечем в вскр занятся:
бункер саддама расфигачили по координатам, которые французики предоставили амерам. я все
ну и если вам нечем в вскр занятся:
бункер саддама расфигачили по координатам, которые французики предоставили амерам. я все
Я так понимаю если месяц назад была v1.0, сейчас v2.0, летом нужно будет ждать v3.0?
тут другая фишка: червь видимо искал по белым ip сервера в инет — вопрос — а почему ржд, сбер, прочие были открыты порта? там ламеры работают (или на 30тр и @ его конем) (тащи с завода каждый гвоздь, ты тут хозяин, а не гость)? ну на венде серваки, но брандмауер могли же настроить — или начальник не могет в вк постить, откроем все?
Много кто бездумно копипастит, но мало кто пишет что «dism /online /norestart /disable-feature /featurename:SMB1Protocol» сработает только начиная с 8.1.
Мои предположения, что это был элемент дебага (Back Door), который тупо забыли убрать из реализа.
Вероятность взлома Windows Update тоже ненулевая — вспомним про то, как это было при Stuxnet, другой разработкой NSA. Вот тогда начнется «апокалипсис»: когда лекарство причиняет больший вред, чем то, ради чего его применяют. Причем могут реализовать незаметным образом же.
Книжки вроде Zero Day все более похожи на реальность, заметил. Масштабы, скорости заражений стали другими, чем раньше, когда ботнеты тоже были, но тихо себе майнили биткоины, например. Хотя это мой взгляд как неспециалиста, все же не вирусолог. Хотя страшно все равно от этого не менее.
Книжки вроде Zero Day все более похожи на реальность, заметил. Масштабы, скорости заражений стали другими, чем раньше, когда ботнеты тоже были, но тихо себе майнили биткоины, например. Хотя это мой взгляд как неспециалиста, все же не вирусолог. Хотя страшно все равно от этого не менее.
кошерная 7ка и накаких апдейтов до чорного экрана
Powershell для систем ниже Win 8.1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
regedit от админа ,win7
Компьютер
\hkey_current_config
\system
\services
tsdd
vgasave
все
Компьютер
\hkey_current_config
\system
\services
tsdd
vgasave
все
Этот герой — 22-летний хакер и блоггер из Великобритании, чьё имя пока не стало достоянием гласности.
Автор, вы точно знаете, что это парень, а не девушка?
Случайно обнаруженный способ остановить распространение вируса-вымогателя WannaCry больше не работает. Создатели вируса усовершенствовали его код и выпустили новую версию вредоносной программы
http://www.rbc.ru/technology_and_media/14/05/2017/5918bae09a7947ce8cc186a1?from=main
http://www.rbc.ru/technology_and_media/14/05/2017/5918bae09a7947ce8cc186a1?from=main
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Парень случайно остановил глобальное распространение криптовымогателя WannaCrypt