Комментарии 51
Ну либо вам повезёт, либо вот он шанс...
Шанс не работать? Если софт только под Win, то тысячи (или десятки тысяч) рабочих мест перевести не так просто, даже не вспоминая про время и деньги на переписывания систем, разрабатываемых десяток-другой лет. И да, клиентам не повезло (интранет, но первый залетевший дятел начал интенсивно рушить цивилизацию и его не остановить — киллсвич он не увидит даже в той версии, в которой он есть).
Софт — да проблема. И да, насколько она велика конкретно у вас мне не известно. Ну как показывает хоть и скромная, но практика, если внимательно посмотреть инфраструктуру, то оказывается:
- что такой софт нужен не всем
- чем меньше пользователь компетентен — тем меньше у него шансов наступить на грабли. Особенно на предприятии. Где список необходимого софта строго регламентирован.
- психологический барьер существует не в головах переводимых, а в голове переводящих.
Впрочем согласен, что везде по разному...
1.что такой софт нужен не всем
Не всем, но тысячи рабочих мест в нескольких критически важных структурах страны — этого достаточно. И оно критическое, но если что — "денег нет, но вы держитесь", потому пластырь и костыли — всё на что хватает бюджета.
тем меньше у него шансов наступить на грабли
а ему и не надо, SMBv1 и привет, грабли наступлены автоматически, ведомственная сеть без выхода в инет и не очень квалифицированные админы — и нет обновлений, даже killswitch не сработает — как уже сказал без инета, и про админов сказал — сделать такой домен внутри им сложно (они вообще могут про него не знать, хабр не для них).
3.психологический барьер существует не в головах переводимых, а в голове переводящих
Никто не говорил о психологическом барьере, барьер чисто технический. И это не только драйвера устройств (некоторые чуть более уникальны, чем мышка или принтер и нельзя пойти в магазин за заменой), но и всё "нажитое непосильным трудом" — сотни тысяч строк кода на разных языках, зачастую с привязкой к платформе, гвоздями, поскольку писалось ещё очень-очень давно — потому нельзя взять gcc и пересобрать под нужную, некоторым алгоритмам может потребоваться реверс, потому как документация не у всех не всегда идеальная. Я проработал в нескольких конторах, делавших такой софт для совершенно разных организаций и нигде нельзя "просто взять и переписать", теоретиком быть хорошо, но жизнь сурова и несправедлива.
2) Есть видео, показывающее определение WannaCry by SandBlast Agent
https://youtu.be/0jb8zd7H634
3) Если кто-то получил сомнительный имейл с какими-то вложениями – нужно отправить его вложением к письму на incident@checkpoint.com
или проверьте файл в песочнице
http://threatemulation.checkpoint.com/teb/upload.jsp
Настойчиво НЕ рекомендуется платить злоумышленникам, если уж файлы зашифрованы – деньги уходят от вас (владельцы вируса просят небольшую сумму, в районе 300 долларов), а в итоге вы НЕ получаете и никогда НЕ получите свои файлы. Проверено лабораторией Check Point, которая ждет доступ к тестовым файлам еще с пятницы.
У нас пострадали в основном крупные компании.
http://www.elmundo.es/tecnologia/2017/05/12/59158a8ce5fdea194f8b4616.html
В пятницу их работники получали уведомление отключить все персональные компьютеры до выяснения обстоятельств, что практически парализовало работу многих служб. Вобщем-то это говорит о низком уровне корпоративной политики безопасности.
Вобщем-то это говорит о низком уровне корпоративной политики безопасности.
Скорее о полном раздолбайстве.))
Сигнатуры еще в марте были опубликованы…
Жалко денег на систему бэкапов, лицензионные системы и антивирусы.
В общем: «волки — санитары леса»
— купите Nas для бэкапов?
— да не надо.
если специалисту мало платят, то он может плохо работать
Рабство отменили (вроде, не уверен), если специалисту мало платят, то он увольняется, если мало платят, то он не пойдёт на эту работу, а штатная единица есть и работник должен быть, потому берут не специалиста, а могущего слово конпутер без ошибок написать.
будь добр относиться добросовестно к своей работе
Вы кому это написали? Те "специалисты" про хабр не знают и никогда этого не прочтут.
Не обязательно.
Представьте ситуацию — корпоративные политики безопасности в порядке, в смысле — регламенты написаны замечательно.
Но после "оптимизации" (см статью) в наличии есть менее 10 сисадминов, а железных и виртуальных серверов — несколько тысяч. Причём никто чётко не знает, какие из них в какое время можно перезагружать. Или даже знает что перезагружать нежелательно. Или перезагрузка требует длительного согласования.
Короче, начнёшь перезагрузками системы принудительно дергать — жди увольнения. Да кому нужен такой энтузиазм и самопожертвование.
Вот и довели ситуацию до...
А сквозь nat на роутере оно может пролезть?
Вредоносная программа WannaCry ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445 (Server Message Block/SMB). Поэтому неплохой идеей (если ваши процессы допускают это) было бы заблокировать доступ по этому порту (а также по 139-му) из Интернет на вашем межсетевом экране или маршрутизаторе.
Так что порты точно надо закрыть.
Главное вдумчиво подойдите, на заблокируйте полностью работу SMB между локальными сетями.
SIEM Use Case Library https://my.socprime.com/en/ucl/
— MD5s of malicious processes on host
— Names of malicious processes on host
— Command-line parameters of WannaCry worm, including ones called out by cmd.exe
— File paths identified
— IP addresses and ports reported in OSINT as command centers
Где-то говорят, что по почте.
Это как он может исполниться в почте? В Аутглюке?
Где-то говорят, что на почту приходят exe.
Но их же олень должен сам запустить.
Где-то говорят, что через шары.
Капец, почему шары до сих пор по-умолчанию открыты? 21 век на дворе. Уже ж не в первой вирусня тудой льется.
П.С.
Ну когда сделают дружелюбный линукс, а то сижу на XP. Хз, что делать после 19-го года. :)
1. WannaCryptor – Direct infection utilizing SMB as delivery method – Multiple samples have been identified including copy cats and variants. All tested samples have been detected and blocked by SandBlast Anti-Ransomware and/or Threat Emulation
2. Hostile links within an email
3. Hostile attachments that contain a hostile link within a PDF
4. Hostile attachments that are password encrypted ZIP file which contains a PDF which starts the infection chain.
5. Brute force login attacks against RDP servers which then plant ransomware
Так что вы, http2, почти все вектора и назвали.
А почему никто не советует для начала остановить и заблокировать запуск в Windows сервиса "Сервер"?
Ну хотя бы на домашнем компе? Хотя бы на компах, которые не расшаривают свои папки?
Обеспечивает поддержку общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение.
Вы уверены, что кому-то нужны именованные каналы (хз вообще что это :) )?
Вот именно.
Ну может они и нужны, но оставлять к ним доступ "через сетевое подключение" у домашнего компа… да многим ли это надо?
Похоже с мая 2017 никто ничего не писал :). Это может показаться странным, но я сегодня с гитхаб специально скачал Wanna Cry (на виртуалку Snadbox). Всё антивирусы включены, Win10 22Н2, особо важных файлов на ноуте нет, поэтому попробовал. В общем, да, WC (да, забавное сокращение вышло :)), несмотря на вес ~ 3,5 Мб, действительно опасна. И плодит файлы со ссылкой на дешифратор как не из себя много. Свежая kvrt.exe, которую удалось без проблем скачать через виртуалку с уже запущенным вирусом, нашла и успешно удалила Ванну. Но долго искала, минут 15 сканирование заняло. Если бы были файлы, то их вирус бы точно зашифровал.
Будем надеяться, такого рода вирусы нам будут попадаться в жизни нечасто, а лучше и вообще чтобы больше вообще не повторялось такое :)...
Как защищаться от атаки вируса-шифровальщика «WannaCry»