Комментарии к публикации «Обнаружены второй и третий варианты WannaCry, в том числе без стоп-крана»

19.05.2017 10:05:43 saboteur_kiev

saboteur_kiev — Fri, 19 May 2017 10:05:43 GMT

> Держать всегда включенный Windows Update тоже чревато.

IMHO, риск, что винда не загрузится — гораздо лучше, чем риск, что твои документы зашифруются.

19.05.2017 10:02:37 saboteur_kiev

saboteur_kiev — Fri, 19 May 2017 10:02:37 GMT

«Бинарники выполняются под любым линуксом, потому что они представляют из себя инструкции для процессора, а не для ОС»

1. Любой Линукс — это тоже ОС.

2. Бинарники может представляют из себя инструкции для процессора, но архитектура бинарников между разными ОС заметно отличается.
3. В бинарниках могут быть вызовы ОС функций, чтобы например не писать самостоятельно работу с файловой системой.

В этом плане, в Линукс даже проще — исходники доступны, можно взять готовое, просто размер бинарника заметно увеличится, и требование к квалификации программиста тоже.

Линукс все еще весьма НЕ популярен среди обычных пользователей, поэтому особого смысла писать под него нет.
Вот обратите внимание, что несмотря на растущую популярность Линукса и Мака, внезапно очень сильно взлетел Андроид, и вот под него уже зловредов заметно больше, чем для Линукса и Мака вместе взятых — просто потому, что он стал популярен именно среди целевой аудитории.

16.05.2017 13:50:13 vganin

vganin — Tue, 16 May 2017 13:50:13 GMT

Спасибо!

16.05.2017 10:43:43 artemev

artemev — Tue, 16 May 2017 10:43:43 GMT

В статье явно указано, что он хакер.

16.05.2017 09:24:58 zoid009

zoid009 — Tue, 16 May 2017 09:24:58 GMT

Нашел. Мало ли кому то ещё надо.
сам скрипт
https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse
Команда
nmap -sC -p 445 --max-hostgroup 3 --open --script smb-vuln-ms17-010.nse 1x.x.x.x/x

16.05.2017 09:17:14 Acerus

Acerus — Tue, 16 May 2017 09:17:14 GMT

Не совсем точно выразился. В первый момент волны зависаний они его убрали, а через несколько дней снова выложили, видимо исправленый, т.к. размер файла отличался.

16.05.2017 08:45:27 zoid009

zoid009 — Tue, 16 May 2017 08:45:27 GMT

Можно ссылочку на него?

16.05.2017 08:42:59 alxt

alxt — Tue, 16 May 2017 08:42:59 GMT

Возможны два варианта:
1. Ничего не восстановить, расчёт на лоха.
2. После оплаты надо что-от отправить на почту, чтобы получить персональный ключ.
В прошлых вариантах шифровальщиков встречался второй вариант, тут (или на хабре) были статьи.

16.05.2017 08:38:25 shogunkub

shogunkub — Tue, 16 May 2017 08:38:25 GMT

Пытаетесь воспользоваться командой для Windows 8.1 и выше в Windows 7. https://geektimes.ru/post/289153/#comment_10064649 — тут написано. Но лучше поставить патч.

16.05.2017 08:32:55 elite7

elite7 — Tue, 16 May 2017 08:32:55 GMT

Хорошо. Спасибо. Но ведь тогда, если авторы расшифровывают файлы и ключ один, то достаточно одного ключа дешифровки, чтобы расшифровывать все компьютеры?

А если ключей несколько, то и платежи должны чем-то отличаться.

16.05.2017 07:38:10 Alexeyslav

Alexeyslav — Tue, 16 May 2017 07:38:10 GMT

Ну это довольно банально объясняется. Для написания такого вируса нужна квалификация, программист который способен написать его заработает денег другим более легальным способом.
И самый железобетонный аргумент — зачем напрягаться когда более простые методы работают?

16.05.2017 06:30:36 madgrok

madgrok — Tue, 16 May 2017 06:30:36 GMT

Ничего не убрали.
http://www.microsoft.com/ru-ru/download/details.aspx%3Fid%3D39891
Скорее всего его перекрыл накопительный апдейт.

16.05.2017 06:25:30 Alexeyslav

Alexeyslav — Tue, 16 May 2017 06:25:30 GMT

Банальные способы таки работают, и легко реализуются. Все же понимают что способ будет действовать недолго — до его обнаружения и нейтрализации, поэтому нет смысла делать что-то очень хитрое и тратить усилия на сложные схемы когда они почти одинаково легко обнаруживаются по последствиям. Главное чтобы метод работал некоторое время а дальше хоть трава не расти. Пофиксят — тут же придумают очередную банальность, когда банальные способы пофиксят будут думать что-то сложнее.

16.05.2017 06:23:13 alxt

alxt — Tue, 16 May 2017 06:23:13 GMT

Никак. Он шифрует файлы парой несимметричным ключём.
Если авторы вируса реально расшифровыают файлы- то они присылают пару к ключу шифрования.
Если всё сделано правильно- то никакой антивирус (и вообще никто) не поможет, а вымогатели- помогут.

16.05.2017 06:05:38 sumanai

sumanai — Tue, 16 May 2017 06:05:38 GMT

32 мега только под новые ос (а действительно, почему так много?). Под ХП обнова меньше мегабайта занимает.

16.05.2017 05:47:01 Dioxin

Dioxin — Tue, 16 May 2017 05:47:01 GMT

А как понять что человек хакер?
У него HACKER ID есть?

16.05.2017 05:40:57 Dioxin

Dioxin — Tue, 16 May 2017 05:40:57 GMT

1. обнову можно скачать на другом компе.
2. можно закрыть порт 445.
3.можно выйти в инет через роутер с закрытым портом 445.

16.05.2017 05:32:45 Dioxin

Dioxin — Tue, 16 May 2017 05:32:45 GMT

Зачем вообще это надо? Пусть шифрует все подряд.
Гадить так по полной.

16.05.2017 03:49:42 Spewow

Spewow — Tue, 16 May 2017 03:49:42 GMT

Для nmap уже есть скрипт проверки этой уязвимости.

16.05.2017 01:11:21 maldalik

maldalik — Tue, 16 May 2017 01:11:21 GMT

Подскажите что я делаю не так?

C:\Users\maldalik>dism /online /norestart /disable-feature /featurename:SMB1Protocol

Cистема DISM
Версия: 6.1.7600.16385

Версия образа: 6.1.7601.18489

Ошибка: 0x800f080c

Имя компонента "SMB1Protocol" неизвестно.
Имя компонента Windows не распознано.
Воспользуйтесь параметром /Get-Features, чтобы найти имя компонента в образе, и
повторите команду.

Файл журнала DISM находится по адресу C:\Windows\Logs\DISM\dism.log

15.05.2017 21:06:49 Acerus

Acerus — Mon, 15 May 2017 21:06:49 GMT

4012215 это мартовский кумулятивный апдейт (4012212 — его часть конкретно для закрытия дыры от текущего вируса), следующие после — 4015549 и 4019264 — соответственно апрельский и майский кумулятивные апдейты.

15.05.2017 20:56:09 Acerus

Acerus — Mon, 15 May 2017 20:56:09 GMT

Да, большая часть пострадавших — с нелегальной активацией, но лично я столкнулся с очень лицензионными виндовсами, которые «внезапно» утром перестали загружаться, потому что накануне вечером в автомате загрузился этот kb. Случилось это 15 августа 2013 г.
И потом — если с KB2859537 было всё в порядке, то почему же мелкомягкие как-то быстро его убрали из доступных к загрузке?

15.05.2017 20:53:59 MyFearGear

MyFearGear — Mon, 15 May 2017 20:53:59 GMT

Эта проблема решается, как и многие другие проблемы.
Просто поищите решение.

15.05.2017 20:43:26 kumbr_87

kumbr_87 — Mon, 15 May 2017 20:43:26 GMT

Ходят слухи что заработали «аж» 42килобакса, уже правда вроде сумма до 56 доехала если верить ссылке:
https://bitinfocharts.com/bitcoin/wallet/WannaCry-wallet
Насколько реально, ведь такая «беспрецендентная кибератака» должна была заразить ну минимум десятки миллионов ПК по всему миру, даже если каждый тысячный заплатил бы сумма должна была быть слегка поболее… или всем реально пофиг на данные или количество жертв слегка завышено или таки проверяют малую долю кошельков?

15.05.2017 20:25:03 madgrok

madgrok — Mon, 15 May 2017 20:25:03 GMT

С KB2859537 было всё в порядке. Проблему испытали пользователи у которых было модифицировано ядро системы! В подавляющем большинстве случаем это нелегальная активация Windows. )

У такой модификации есть две наиболее вероятные причины.

Вредоносные программы. Это не первый случай, когда обновление ядра выявляет наличие проблем в системе – так, 3.5 года назад случайно обнаружился руткит Alureon.

Нелегальная активация. Этот момент отлично разобрал участник конференции OSZone simplix, который не понаслышке знаком со сборками Windows, а также является автором полезной программы AntiSMS для лечения вирусов и троянов.

http://www.outsidethebox.ms/15229/

15.05.2017 20:20:56 Labunsky

Labunsky — Mon, 15 May 2017 20:20:56 GMT

А если человек выключает Защитника и обновления, значит у него стоит сторонний антивирус.

Или не стоит. Может, он просто сидит где-нибудь за NAT'ом (а то и вообще только с локалкой) и периодически загружает винду в игры погамать. Или для сборки/тестирования виндовых билдов чего-то своего, написанного где-нибудь в убунте, использует. Или это вообще виртуалка для двух программ, которой обновления ни в какую не уперлись. Или…

15.05.2017 19:37:32 Inuki

Inuki — Mon, 15 May 2017 19:37:32 GMT

Интересно, в Win10 1607 у меня этот компонент после установки патча уже отключен. Шары есть, работают.

15.05.2017 19:35:38 sashademeshkin

sashademeshkin — Mon, 15 May 2017 19:35:38 GMT

А что если написать на Autohotkey скрипт, который следит за количеством директорий в папке Users и начинает орать если там что-то изменилось (добавилось или убавилось). Например так:

#NoEnv; Recommended for performance and compatibility with future AutoHotkey releases.
#SingleInstance force
; #Warn; Enable warnings to assist with detecting common errors.
SendMode Input; Recommended for new scripts due to its superior speed and reliability.
SetWorkingDir %A_ScriptDir%; Ensures a consistent starting directory.
DetectHiddenWindows, On

#Persistent

; выполнять скрипт каждых 1000 милисекунд
SetTimer, UsersDirectoryWatch, 1000
return

UsersDirectoryWatch:

; тут значение количества директорий до атаки, в нормальном состоянии (у меня их шесть)
count_normal=6

; считаем количество директорий в папке users (включая скрытые директории)
loop, C:\Users\*.*, 2, 0
{
count++
}

; если значение превышено — выводим сообщение
if (count > count_normal)
MsgBox, ВНИМАНИЕ! В ДИРЕКТОРИИ USERS ОБНАРУЖЕНЫ НОВЫЕ ПАПКИ!

; обнуление счетчика
count=0

; конец скрипта
return

; для выключения скрипта нажать ctrl+alt+shift+0
!+^0::ExitApp

15.05.2017 19:31:58 Acerus

Acerus — Mon, 15 May 2017 19:31:58 GMT

Держать всегда включенный Windows Update тоже чревато. Забыли KB2859537 4 года назад? Да, может случай и редкий, но данный вирус тоже не вот чтобы каждый день появляется.
Лучше вручную регулярно подгадывая под очередной выход кумулятивного обновления всё загрузить.

15.05.2017 19:26:27 artyums

artyums — Mon, 15 May 2017 19:26:27 GMT

Да, подобной опасности подвергается даже не только машина-роутер, но и любая другая, к которой подключен «внешний» линк (например, кто-нибудь у себя дома воткнул кабель провайдера прямо в сетевуху).
Поэтому, имхо, от подобного вектора атаки с автоматическим распространением вируса, маршрутизатор — отличная преграда.

15.05.2017 19:23:32 artyums

artyums — Mon, 15 May 2017 19:23:32 GMT

У меня Win 10 Pro и домашняя группа также отключена (сеть «общедоступная») — сейчас попробовал расшарить директорию, с другого компьютера к ней без проблем доступ получил. Как в варианте с авторизацией, так и без.

К тому же, у меня NAS создает сетевые папки через SMB2 (это явно выбрано его в настройках) и они тоже работают без проблем.

15.05.2017 19:22:50 read2only

read2only — Mon, 15 May 2017 19:22:50 GMT

Но кто мешает обнулить макрософту всю эту сокральность?

Простое правило — не ставить обновления моментально. Требуется относительно немного времени выяснить содержание того или иного KB.

15.05.2017 18:55:19 ShadowMaster

ShadowMaster — Mon, 15 May 2017 18:55:19 GMT

Ну мало ли где и что написано. Я помню что после установки service pack 1 делал DISM /online /cleanup-Image /spsuperseded. В то время windows 8 была разве что внутренней разработкой microsoft.

15.05.2017 18:52:54 rastych

rastych — Mon, 15 May 2017 18:52:54 GMT

Я решил провести эксперимент — поставил Win7 без обновлений в VirtualBox, выставил ее уязвимыми портами голышом в интернет, жду уже полтора дня — и ничего :(

15.05.2017 18:43:51 elite7

elite7 — Mon, 15 May 2017 18:43:51 GMT

Все хочу задать глупый вопрос, а как вирус узнает, что оплата произведена и файлы можно расшифровывать?

15.05.2017 18:34:37 dartraiden

dartraiden — Mon, 15 May 2017 18:34:37 GMT

В случае с Windows 7 (и XP) есть сторонние наборы обновлений, регулярно обновляемые. Хуже, конечно, чем штатная система обновлений, но определённо лучше, чем ничего (а для XP это вообще единственная возможность получать обновления).

15.05.2017 18:30:39 dartraiden

dartraiden — Mon, 15 May 2017 18:30:39 GMT

Интересно тогда, почему у меня Windows 10 шарит папки через старую версию…
Я проверял просто: расшарил папку (Свойства — Доступ — Общий доступ) и убедился, что к ней есть доступ с другого компьютера, работающего под Windows 8.1. Затем отключил CIFS, перезагрузился, после чего другой компьютер уже не видел эту папку через «Сеть».

Возможно, как-то влияет то, что у меня полностью отключена служба домашней группы и в политиках запрещено её создание?

15.05.2017 18:28:45 vsespb

vsespb — Mon, 15 May 2017 18:28:45 GMT

а, ну наверное да. я значит в голове держал сценарий, когда такой кривой сетап подвергает опасности сам роутер (в случае если твой комп под линукс и является роутером).

15.05.2017 18:15:15 artyums

artyums — Mon, 15 May 2017 18:15:15 GMT

Так по умолчанию никаких запрещающих правил и не требуется — все входящие соединения по портам, для которых явно не настроено перенаправление (forwarding), итак заканчиваются на маршрутизаторе, во внутреннюю сеть (inside NAT) ничего не проходит само собой — ибо банально неизвестно, куда идти пакетам дальше.

15.05.2017 18:09:16 vsespb

vsespb — Mon, 15 May 2017 18:09:16 GMT

Вполне себе могу представить скрипт, который в автозагрузке, не там где нужно (после появления сети) и который добавляет запрещающие правила в iptables, который живут только до перезагрузки.