www.boolean.name

www.boolean.name (http://forum.boolean.name/index.php)
-   Программное обеспечение / Software (http://forum.boolean.name/forumdisplay.php?f=164)
-   -   Wana decrypt0r (http://forum.boolean.name/showthread.php?t=20619)

ABTOMAT 14.05.2017 20:55

Wana decrypt0r
 
Ну что, господа, есть пострадавшие?

Давеча тут хайп начался, а у нас что-то пусто.
В-общем вкратце: в протоколе SMB (он же "общие папки" Винды) нашлась уязвимость. Была найдена и закрыта с месяц назад обновлениями Винды... которые, как известно, далеко не все любят ставить.

Как действует?



На порты 139 и 445 подаётся специально сформированный пакет, вызывающий переполнение буфера, а затем выполняющее код зловреда.
Зловред, получив доступ к компу, быстренько шифрует данные, а потом требует денег за расшифровку.
Если денег не получит вовремя, данные удаляются (тут проверяли — не врёт).
Одновременно с этим сканирует порты уже в локальной сети и размножается тем же методом.





Как заразиться?


Чтобы заразиться, нужно грубо нарушить сразу несколько правил информационной безопасности, а именно:

1. Не обновлять ОС (некоторые самые вумные отключают обновления Винды сразу после установки, типа, "А зачем? У меня и так же всё работает, а то ещё кряк слетит").
2. Форвардить порты 445 и 137-139 в Интернет с Виндовой не обновлённой машины. Ну или держать комп в DMZ или втыкать Интернет прямо в него.




Как проверить, что вы в безопасности?



Windows 10

C Windows 10 всё довольно просто — достаточно выполнить в консоли команду winver и ориентироваться на номер версии и сборки. Вы в безопасности, если:

— версия 1703, любая сборка
— версия 1607, сборка 14393.953 или выше
— версия 1511, сборка 105867.839 или выше
— версия 1507 (эта версия может не отображаться, тогда ориентируйтесь по сборке 10240), сборка 10240.17319 или выше

Более ранние

Перейдите по ссылке и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
Откройте cmd.exe (командную строку)
Напишите:
wmic qfe list | findstr 4012212
Нажмите Enter
Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:
http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка



Ещё почЫтать: https://geektimes.ru/post/289115/

Как видите, если не предпринимать откровенно дебильных действий (отключение обновлений винды) всё будет ОК. Сколько компов в мире пострадало? Делаем выводы относительно операторов ЭВМ.

В этом треде обязательно появятся:
1. Господа, у которых Linux/MacOS и которые порадуются неудачам виндузятников.
2. Господа, которые будут утверждать, что у них всё нормально и без обновлений.
3. Господа, схватившие зловреда.
4. Случайные зрители.

Вперёд!

Andvrok 14.05.2017 21:45

Ответ: Wana decrypt0r
 
Читал где-то, что десяткобоги не подвержены.
В любом случае я за роутером и обновления не отключал, смеюсь над неудачниками.
Ну що, сынку, допомогло тоби твое «работает — не трогай»?

ant0N 15.05.2017 02:04

Ответ: Wana decrypt0r
 
Цитата:

В этом треде обязательно появятся:
1. Господа, у которых Linux/MacOS и которые порадуются неудачам виндузятников.
ох тыж, сразу защиту поставил )

Цитата:

Давеча тут хайп начался, а у нас что-то пусто.
потому что все уже сыты




DarkInside 15.05.2017 11:06

Ответ: Wana decrypt0r
 
У нас казанский ГИБДД накрыло, приостановили работу.

Читал на хабре, типа там зловред проверяет незарегистрированный домен и условие в коде: если этот домен зарегистрировали, то зловред отключается. При этом паренёк распиарился благодаря тому, что первый зарегистрировал этот домен и остановил вирусню. При этом спецыалисты по ИБ говорят, что это вполне расространенная практика регистрировать домен на себя, если зловред как-то обращается к незарегистрированному домену. И таких доменов спецыалисты регистрируют тыщи в год.

Тогда как-то глупо получается, зачем делать такой стоп-кран в вирусне, если первый же попавшийся спецыалист по ИБ зарегает этот домен (если все так делают - регают домены) и вирусня отключится.

Возможно такое, что этот паренёк как-то связан с вирусней и специально сделали этот стоп-кран, чтобы паренёк пропиарился, типа остановил глобальный апокалипсис? :-D

Стоп-кран свою работу сделал, паренек на пьедестале, а теперь пошла вторая версия зловреда (настоящая) без стоп-крана и по другой уязвимости.

Вроде авторы неделю дают на оплату, значит уверены, что неделю никто не взломает их зловреда.

PS. Кто-то в 2017 еще держит 445 порт открытым? еще с начала 2000х все мануалы по хакерству начинаются со взлома 445 порта.

Phantom 15.05.2017 13:58

Ответ: Wana decrypt0r
 
Фича с доменом - это по ходу простецкая защита от себя-дурака. Загоняешь этот домен себе в hosts и можешь быть уверен, что твоя же вирусня твой компьютер не нагнёт.

Arton 15.05.2017 23:07

Ответ: Wana decrypt0r
 
Цитата:

Сообщение от DarkInside (Сообщение 313604)
PS. Кто-то в 2017 еще держит 445 порт открытым? еще с начала 2000х все мануалы по хакерству начинаются со взлома 445 порта.

Я про его существование, в прошлую пятницу узнал.
Хакерскими мануалами как-то не интересовался, и сомневаюсь что ими многие интересуются, ну так, всерьёз по крайней мере.

Цитата:

Сообщение от DarkInside (Сообщение 313604)
Тогда как-то глупо получается, зачем делать такой стоп-кран в вирусне, если первый же попавшийся спецыалист по ИБ зарегает этот домен (если все так делают - регают домены) и вирусня отключится.

Цитата:

Сообщение от Phantom (Сообщение 313605)
Фича с доменом - это по ходу простецкая защита от себя-дурака. Загоняешь этот домен себе в hosts и можешь быть уверен, что твоя же вирусня твой компьютер не нагнёт.

Про незарегистрированный домен, предполагается что это защита от запуска в виртуальной среде (отмечается что топорная защита), мол в первую очередь не покупать домен пойдут, а сэмулируют ответ. Для наблюдения за поведением криптографа. Изучить «вирус» проще за его работой.

Gector 23.05.2017 16:34

Ответ: Wana decrypt0r
 
Не пострадал. И на работе как то тихо. Обновления стабильно ставят.

ABTOMAT 23.05.2017 17:09

Ответ: Wana decrypt0r
 
Сомневаюсь, что фичу с доменом для себя сделали. Уж явно автор испытывал своё творчество на виртуальной машине/изолированной группе компов.

Говорят, кстати, были кулибины, что изловили зловреда, в HEX-редакторе в нём отключили рубильник по домену да перебили номер биткойн-кошелька на свой (самое главное-то!) и отправили путешествовать дальше.

h1dd3n 24.05.2017 17:40

Ответ: Wana decrypt0r
 
Фича с доменом для обхода песочниц антивирусов. Очевидно же...

DarkInside 24.05.2017 23:02

Ответ: Wana decrypt0r
 
Цитата:

Сообщение от h1dd3n (Сообщение 313641)
Фича с доменом для обхода песочниц антивирусов. Очевидно же...

Ну это понятно, это официальная версия. Но насколько оправдано это использовать, если первый попавшийся зарегает домен? Куча же других способов идентификации, что прога запущена в песочнице (виртуальной машине). И эти способы более оправданы в данном контексте.

Phantom 25.05.2017 18:15

Ответ: Wana decrypt0r
 
Wannacry — икс-команда, на выезд

h1dd3n 27.05.2017 23:03

Ответ: Wana decrypt0r
 
Цитата:

Сообщение от DarkInside (Сообщение 313642)
Ну это понятно, это официальная версия. Но насколько оправдано это использовать, если первый попавшийся зарегает домен? Куча же других способов идентификации, что прога запущена в песочнице (виртуальной машине). И эти способы более оправданы в данном контексте.

Ну поведуй о надежных способах определения песочниц современных антивирусов

DarkInside 28.05.2017 17:52

Ответ: Wana decrypt0r
 
Цитата:

Сообщение от h1dd3n (Сообщение 313648)
Ну поведуй о надежных способах определения песочниц современных антивирусов

1) Через WinAPI опросом конфигурации ОС и прочей системной информации
2) Низкоуровневые трюки

h1dd3n 29.05.2017 18:23

Ответ: Wana decrypt0r
 
Ну конкретнее. Кто сказал что опрос конфигурации ос что-то даст вообще?

Ты по сути ничего не сказал.

Какие именно низкоуровневые трюки (помним что у нас тут не уровень ядра, да?)?

DarkInside 30.05.2017 05:33

Ответ: Wana decrypt0r
 
Цитата:

Сообщение от h1dd3n (Сообщение 313652)
Ну конкретнее. Кто сказал что опрос конфигурации ос что-то даст вообще?

Ты по сути ничего не сказал.

Какие именно низкоуровневые трюки (помним что у нас тут не уровень ядра, да?)?

Как конкретно детектировать виртуальную машину, могу по пунктам рассказать. А именно с песочницей антивируса не разбирался и сейчас пока нет времени разбираться, чтобы конкретно ответить. Но я уверен, что обращение к домену - это не лучший способ и есть другие способы, более приемлемые. Как доведется разобраться с песочницами антивирусов, так обязательно расскажу. В посте выше просто выделил направления, куда нужно копать, на мой взгляд.


Часовой пояс GMT +1, время: 07:28.

vBulletin® Version 3.6.5.
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Перевод: zCarot